Attaque de phishing "Navigateur dans le navigateur"

Les fraudeurs utilisent une nouvelle technique de phishing connue sous le nom de Browser-in-the-Browser pour obtenir des identifiants de compte confidentiels de leurs victimes. Jusqu'à présent, les attaquants semblent cibler principalement les utilisateurs de Steam et les joueurs professionnels. Il est probable que tous les comptes compromis seront proposés à la vente, car certains comptes Steam importants ont été estimés entre 100 000 et 300 000 dollars.

Steam est la plus grande plate-forme de distribution numérique pour les jeux sur PC et son développeur Valve Corporation possède également certains des plus grands titres d'esports au monde, tels que CS: GO et DOTA 2. Les attaques de phishing Browser-in-the-Browser commencent par des messages d'appât envoyé directement aux utilisateurs via Steam. Les fraudeurs invitent leurs victimes à rejoindre une équipe pour un jeu compétitif populaire (LoL, CS, DOTA 2, PUBG) et à participer à un supposé tournoi. Le lien trouvé dans le message de leurre conduira les victimes sans méfiance vers un faux site, conçu pour apparaître comme s'il appartenait à une organisation hébergeant des compétitions d'esports. Lorsque les utilisateurs essaient de rejoindre une équipe, ils seront invités à se connecter via leur compte Steam.

C'est ici que la technique du navigateur dans le navigateur entre en jeu. Au lieu de la fenêtre de connexion légitime qui est généralement superposée sur le site Web existant, les victimes se verront présenter une fausse fenêtre créée dans la page actuelle. Il est extrêmement difficile de repérer que quelque chose ne va pas, car la fausse fenêtre est visuellement identique à la vraie et son URL correspond à l'adresse légitime. Les pages de destination peuvent même choisir entre 27 langues différentes pour correspondre à celle par défaut utilisée par leurs victimes.

Une fois les informations d'identification du compte saisies, une nouvelle invite demandant un code 2FA (authentification à deux facteurs) s'affichera. Si vous ne fournissez pas le bon code, un message d'erreur s'affichera. Si les utilisateurs réussissent l'authentification, ils seront redirigés vers une nouvelle adresse déterminée par le serveur de commande et de contrôle (C2) de l'opération. En règle générale, cette adresse appartient à un site Web légitime afin de masquer les actions des escrocs. Cependant, à ce stade, les informations d'identification de la victime ont déjà été compromises et transmises aux acteurs de la menace.

Des détails sur la technique de phishing Browser-in-the-Browser et l'opération d'attaque dans son ensemble ont été divulgués au public dans un rapport de chercheurs en sécurité. Selon leurs conclusions, le kit de phishing utilisé dans la campagne Steam n'est pas disponible à la vente sur les forums de piratage. Il est plutôt maintenu dans un cercle restreint de cybercriminels qui coordonnent leurs activités sur les chaînes Discord ou Telegram.