„Browser-in-the-Browser“-Phishing-Angriff

Betrüger verwenden eine neue Phishing-Technik namens Browser-in-the-Browser, um vertrauliche Zugangsdaten von ihren Opfern zu erhalten. Bisher scheinen es die Angreifer hauptsächlich auf Steam-Nutzer und professionelle Gamer abgesehen zu haben. Es ist wahrscheinlich, dass alle kompromittierten Konten zum Verkauf angeboten werden, da einige prominente Steam-Konten auf einen Wert zwischen 100.000 und 300.000 US-Dollar geschätzt wurden.

Steam ist die größte digitale Vertriebsplattform für PC-Spiele und sein Entwickler Valve Corporation besitzt auch einige der größten Esports-Titel der Welt, wie CS: GO und DOTA 2. Die Browser-in-the-Browser-Phishing-Angriffe beginnen mit Ködernachrichten über Steam direkt an Benutzer gesendet. Die Betrüger laden ihre Opfer ein, sich einem Team für ein beliebtes Wettkampfspiel (LoL, CS, DOTA 2, PUBG) anzuschließen und an einem vermeintlichen Turnier teilzunehmen. Der in der Ködernachricht gefundene Link führt die ahnungslosen Opfer zu einer gefälschten Website, die so aussieht, als ob sie zu einer Organisation gehört, die E-Sport-Wettbewerbe veranstaltet. Wenn Benutzer versuchen, einem Team beizutreten, werden sie aufgefordert, sich über ihr Steam-Konto anzumelden.

Hier kommt die Browser-in-the-Browser-Technik ins Spiel. Anstelle des legitimen Anmeldefensters, das normalerweise über die vorhandene Website gelegt wird, wird den Opfern ein gefälschtes Fenster angezeigt, das innerhalb der aktuellen Seite erstellt wird. Es ist äußerst schwierig zu erkennen, dass etwas nicht stimmt, da das gefälschte Fenster optisch mit dem echten identisch ist und seine URL mit der legitimen Adresse übereinstimmt. Die Zielseiten können sogar zwischen 27 verschiedenen Sprachen wählen, um der von ihren Opfern verwendeten Standardsprache zu entsprechen.

Sobald die Kontoanmeldeinformationen eingegeben wurden, wird eine neue Aufforderung zur Eingabe eines 2FA-Codes (Zwei-Faktor-Authentifizierung) angezeigt. Wird der richtige Code nicht angegeben, wird eine Fehlermeldung ausgegeben. Wenn Benutzer die Authentifizierung bestehen, werden sie an eine neue Adresse umgeleitet, die vom Command-and-Control-Server (C2) der Operation bestimmt wird. Typischerweise gehört diese Adresse zu einer legitimen Website, um die Aktionen der Betrüger zu verschleiern. Zu diesem Zeitpunkt wurden die Anmeldeinformationen des Opfers jedoch bereits kompromittiert und an die Angreifer übermittelt.

Details über die Browser-in-the-Browser-Phishing-Technik und den gesamten Angriffsvorgang wurden der Öffentlichkeit in einem Bericht von Sicherheitsforschern bekannt gegeben. Ihren Erkenntnissen zufolge steht das in der Steam-Kampagne verwendete Phishing-Kit nicht in Hacking-Foren zum Verkauf. Es wird stattdessen in einem engen Kreis von Cyberkriminellen gehalten, die ihre Aktivitäten auf Discord- oder Telegram-Kanälen koordinieren.