O nouă campanie de phishing vizează jucătorii Counter-Strike 2 care utilizează atacuri Browser-in-the-Browser (BitB) care afișează o fereastră realistă care imită pagina de conectare a Steam anunță BleepingComputer.
Atacatorii pretind a fi membrii din echipa ucraineană de e-sports Navi pentru a ademeni fanii devotați și pentru a adăuga legitimitate paginii de phishing folosind o marcă recunoscută.
Campania folosește tehnica de phishing Browser-in-the-Browser (BitB) creată de cercetătorul în securitate cibernetică mr. dox în Martie 2022. Acest cadru de phishing le permite hackerilor să creeze ferestre pop-up realiste cu adrese URL și titluri personalizate într-o altă fereastră de browser.
Practic, această tehnică de phishing creează ferestre de browser false în ferestrele reale ale browserului (Browser în browser) pentru a crea pagini de conectare sau alte forme realiste pentru a fura datele conturilor utilizatorilor sau codurile de acces MFA (OTP) unice.
Atacatorii au adoptat atacurile Browser-in-the-Browser mai târziu în același an în atacuri la scară largă în care încercau să fure conturi Steam.
Într-o campanie observată de cercetătorii Silent Push, atacatorii folosesc videoclipuri YouTube și, eventual, alte canale de promovare pentru a duce posibilele victime pe site-uri de phishing. Toate aceste site-uri folosesc aceeași adresă IP, ceea ce indică faptul că un singur atacator sau grup conduce campania.
Aceste site-uri promit o cutie cu surprize (lootbox) CS2 gratuită cu skin-uri noi.
Site-urile web rău intenționate care promit articole CS2 în joc sunt:
caserevs[.]com
caseneiv[.]com
casenaps[.]com
caseners[.]com
caseneiv[.]com
simpledare[.]cn
caseneus[.]cfd
Pentru a revendica cadoul, utilizatorilor li se spune să se conecteze la contul lor Steam folosind ceea ce pare a fi o fereastră pop-up de conectare Steam. Cu toate acestea, fereastra pop-up care se deschide nu este de fapt reală.
În schimb, atacatorii folosesc tehnica BitB pentru a arăta o fereastră de conectare falsă care imită adresa URL și interfața oficială a Steam în fereastra activă, făcându-l să pară ca o fereastră pop-up, chiar dacă nu este.
Aceste ferestre false nu sunt redimensionabile și nu pot fi trase în afara ferestrei active (ca o fereastră pop-up normală), dar utilizatorii care nu încearcă să interacționeze cu ele în aceste moduri pot să nu suspecteze ceva in neregulă.
Aceste atacuri urmăresc să fure conturi Steam pentru a le revinde pe piețele gri specializate pentru zeci, uneori sute de mii, în funcție de dimensiunea colecției de jocuri și de elementele din joc deținute de cont.
În ciuda vechimii sale, Counter-Strike 2 rămâne un joc foarte popular, în special în comunitatea e-sports, iar atacatorii au profitat de echipe renumite și de competiția la nivel profesional pentru a ataca prin phishing conturile Steam.
Luna trecută, Bitdefender a raportat despre o campanie la scară largă care a folosit fluxuri live false YouTube CS2 cu coduri QR care duceau oamenii pe site-uri web rău intenționate care promit articole din joc și cadouri de criptomonede.
Utilizatorilor care au urmat linkurile către site-uri de phishing li s-a cerut să introducă acreditările contului Steam sau să-și conecteze portofelele cu criptomonede, doar pentru a le vedea deturnate/golite.
Pentru a consolida securitatea contului Steam, activați autentificarea cu mai mulți factori, activați „Steam Guard Mobile Authenticator” și examinați periodic activitatea de conectare pentru conectări suspecte.
