据BleepingComputer9月12日消息,网络黑客正在使用一种新的浏览器钓鱼技术——BrowserInTheBopwser(BITB)来窃取游戏平台的用户账号蒸汽。BITB是一种越来越流行的攻击方法,它主要在活动窗口中创建一个虚假的登录页面,通常是一个弹出页面供用户登录。3月份,BleepingComputer报道了这种由安全研究员Mr.Mr.创建的新型钓鱼工具包。d0x,它允许攻击者为Steam、Microsoft、Google和任何其他服务创建伪造的登录表单。本项目初中部主要服务红底攻防人员。9月12日,Group-IB发布了一份关于此类攻击的研究报告,描述了针对Steam用户并出售这些帐户访问权限的BITB攻击的网络钓鱼过程。这些目标账户通常价值不菲,大多在10万美元到30万美元之间。使用锦标赛诱饵进行网络钓鱼的第一步是向受害者发送加入Steam上的英雄联盟、CS、Dota2或PUBG锦标赛团队的邀请。如果受害者点击邀请中的链接,他们将被带到主办电子竞技比赛的组织的赞助网站。该网站本质上是一个钓鱼网站。要求受害者使用Steam帐户登录以加入团队,但登录页面窗口并不是覆盖在现有网站上的实际浏览器窗口。在当前页面中创建的假窗口,因此很难将其识别为钓鱼攻击。显示为游戏锦标赛平台的钓鱼页面甚至支持27个国家的语言,并能从受害者的浏览器偏好中自动检测语言设置并加载相应的语言。一旦受害者输入他们的Steam帐户凭据,新生成的表单将提示输入2FA代码,如果身份验证成功,用户将被重定向到C2指定的URL,通常是合法地址,以最大程度地减少受害读者意识到这是网络钓鱼的可能性。此时,受害者的凭据已被窃取并发送给攻击者。在类似的攻击中,攻击者会立即更改密码和电子邮件地址,以尽快控制被盗的Steam帐户,使受害者难以取回帐户。如何发现BITB攻击?在所有BITB钓鱼案例中,钓鱼窗口中的URL都是合法的,本质上是一个渲染窗口,而不是浏览器窗口。该窗口甚至允许用户对其进行拖动、最小化、最大化或关闭,因此很难将其识别为浏览器中生成的虚假浏览器窗口。由于该技术需要JavaScript,所以屏蔽JS脚本是一种有效的预防措施,但此举有时会导致很多正常网站的部分功能无法使用。最重要的是要警惕Steam等平台收到的陌生消息,避免点击不明链接。参考来源:黑客在新的Browser-in-the-Browser攻击中窃取Steam帐户
