Bilgisayar korsanları, tehdit aktörleri arasında popülaritesi artan Tarayıcı-in-the-Tarayıcı kimlik avı tekniğini kullanarak Steam kimlik bilgilerini çalmak için yeni saldırılar başlatıyor.
Tarayıcıda-Tarayıcı tekniği, etkin pencere içinde sahte tarayıcı pencerelerinin oluşturulmasını içeren, hedeflenen bir oturum açma hizmeti için bir oturum açma açılır sayfası olarak görünmesini sağlayan, trend olan bir saldırı yöntemidir.
Mart 2022’de, BleepingComputer bu konuda rapor veren ilk kişi oldu. bu yeni kimlik avı kitinin özellikleri güvenlik araştırmacısı tarafından oluşturuldu bay.d0x. Bu kimlik avı kitini kullanarak tehdit aktörleri Steam, Microsoft, Google ve diğer tüm hizmetler için sahte oturum açma formları oluşturur.
Bugün, Grup-IB ‘Tarayıcıda Tarayıcı’ yöntemini kullanan yeni bir kampanyanın, profesyonel oyuncuların hesaplarının peşinden giden Steam kullanıcılarını nasıl hedeflediğini gösteren konuyla ilgili yeni bir rapor yayınladı.
Bu kimlik avı saldırıları, 100.000 ila 300.000 ABD Doları arasında değişen bazı önemli Steam hesaplarıyla bu hesaplara erişimi satmayı amaçlar.
Turnuva oyunuyla yemleme
Group-IB, gözlemlenen Steam kampanyasında kullanılan kimlik avı kitinin bilgisayar korsanlığı forumlarında veya karanlık web pazarlarında yaygın olarak bulunmadığını bildiriyor. Bunun yerine Discord veya Telegram kanallarında bir araya gelen bilgisayar korsanları tarafından saldırılarını koordine etmek için özel olarak kullanılır.
Muhtemel kurbanlar, Steam’de doğrudan mesajlarla hedeflenir ve onları LoL, CS, Dota 2 veya PUBG turnuvaları için bir takıma katılmaya davet eder.
Kimlik avı aktörlerinin paylaştığı bağlantılar, hedefleri espor yarışmalarına sponsorluk yapan ve ev sahipliği yapan bir kuruluş gibi görünen bir kimlik avı sitesine getirecektir.
Bir takıma katılmak ve bir yarışmada oynamak için ziyaretçilerin Steam hesapları üzerinden giriş yapmaları istenir. Ancak, yeni oturum açma sayfası penceresi, mevcut web sitesinin üzerine yerleştirilmiş gerçek bir tarayıcı penceresi değil, daha ziyade mevcut sayfada oluşturulmuş sahte bir penceredir ve bu, bir kimlik avı saldırısı olarak tespit edilmesini çok zorlaştırır.
Açılış sayfaları, kurbanın tarayıcı tercihlerinden dili algılayarak ve doğru olanı yükleyerek 27 dili bile destekliyor.
Kurban kimlik bilgilerini girdiğinde, yeni bir form onlardan 2FA kodunu girmelerini ister. İkinci adım başarısız olursa bir hata mesajı görüntülenir.
Kimlik doğrulama başarılı olursa, kurbanın uzlaşmayı gerçekleştirme şansını en aza indirmek için kullanıcı, genellikle meşru bir adres olan C2 tarafından belirtilen bir URL’ye yönlendirilir.
Bu noktada kurbanın kimlik bilgileri zaten çalınmış ve tehdit aktörlerine gönderilmiştir. Benzer saldırılarda, tehdit aktörleri Steam hesaplarını hızla ele geçirir, şifreleri ve e-posta adreslerini değiştirerek kurbanların hesapları üzerindeki kontrolünü yeniden kazanmasını zorlaştırır.
Tarayıcıda Tarayıcı saldırısı nasıl belirlenir
Tüm Tarayıcı-in-the-Tarayıcı kimlik avı durumlarında, kimlik avı penceresindeki URL meşru olandır, çünkü tehdit aktörleri bir tarayıcı penceresi değil, yalnızca bir pencerenin bir oluşturması olduğu için istediklerini görüntülemekte özgürdür.
Aynısı, bir HTTPS bağlantısını gösteren ve kurbanlar için yanlış bir güvenlik duygusu yaratan SSL sertifikası kilit sembolü için de geçerlidir.
Daha da kötüsü, kimlik avı kiti, kullanıcıların sahte pencereyi sürüklemesine, küçültmesine, büyütmesine ve kapatmasına izin vererek, tarayıcıda sahte bir tarayıcı penceresi olarak tespit edilmesini çok zorlaştırıyor.
Teknik JavaScript gerektirdiğinden, JS komut dosyalarını agresif bir şekilde engellemek, sahte oturum açmanın görüntülenmesini engeller. Ancak, birçok popüler web sitesini bozacağı için çoğu kişi komut dosyalarını engellemez.
Genel olarak Steam, Discord veya diğer oyunla ilgili platformlarda alınan doğrudan mesajlara karşı çok dikkatli olun ve tanımadığınız kullanıcılar tarafından gönderilen bağlantıları takip etmekten kaçının.