Hacker stehlen Steam-Konten bei neuen Browser-in-the-Browser-Angriffen

Hacker stehlen Steam-Konten bei neuen Browser-in-the-Browser-Angriffen

Spread the love

Hacker starten neue Angriffe, um Steam-Zugangsdaten mit einer Browser-in-the-Browser-Phishing-Technik zu stehlen, die bei Bedrohungsakteuren immer beliebter wird.

Die Browser-in-the-Browser-Technik ist eine beliebte Angriffsmethode, bei der gefälschte Browserfenster innerhalb des aktiven Fensters erstellt werden, wodurch es als Anmelde-Popup-Seite für einen gezielten Anmeldedienst angezeigt wird.

Im März 2022 berichtete BleepingComputer als erster über die Fähigkeiten dieses neuen Phishing-Kits, das vom Sicherheitsforscher mr.d0x entwickelt wurde. Mit diesem Phishing-Kit erstellen Angreifer gefälschte Anmeldeformulare für Steam, Microsoft, Google und andere Dienste.

Group-IB hat heute einen neuen Bericht zu diesem Thema veröffentlicht, der veranschaulicht, wie eine neue Kampagne mit der „Browser-in-the-Browser“-Methode auf Steam-Benutzer abzielt und Konten für professionelle Spieler verfolgt.

Diese Phishing-Angriffe zielen darauf ab, den Zugang zu diesen Konten zu verkaufen, wobei einige prominente Steam-Konten einen Wert zwischen 100.000 und 300.000 US-Dollar haben.

Ködern mit Turnierspiel

Group-IB berichtet, dass das in der beobachteten Steam-Kampagne verwendete Phishing-Kit in Hacking-Foren oder Dark-Web-Märkten nicht weit verbreitet ist. Stattdessen wird es privat von Hackern genutzt, die sich auf Discord- oder Telegram-Kanälen zusammenfinden, um ihre Angriffe zu koordinieren.

Potenzielle Opfer werden mit Direktnachrichten auf Steam angesprochen, in denen sie eingeladen werden, einem Team für LoL-, CS-, Dota 2- oder PUBG-Turniere beizutreten.

Bedrohungsakteur, der die Phishing-URL per Direktnachricht sendet
Bedrohungsakteur, der die Phishing-URL per Direktnachricht sendet (Gruppe-IB)

Die Links, die die Phishing-Akteure teilen, bringen die Ziele zu einer Phishing-Site für eine Organisation, die Esports-Wettbewerbe sponsert und veranstaltet.

Plattform für gefälschte Spielturniere
Plattform für gefälschte Spielturniere (Gruppe-IB)

Um einem Team beizutreten und an einem Wettbewerb teilzunehmen, werden die Besucher aufgefordert, sich über ihr Steam-Konto anzumelden. Das Fenster der neuen Anmeldeseite ist jedoch kein tatsächliches Browserfenster, das über die vorhandene Website gelegt wird, sondern ein gefälschtes Fenster, das innerhalb der aktuellen Seite erstellt wird, wodurch es sehr schwer als Phishing-Angriff zu erkennen ist.

Phishing-Fenster, das innerhalb der Phishing-Site erstellt wurde
Phishing-Fenster, das innerhalb der Phishing-Site erstellt wurde (Gruppe-IB)

Die Zielseiten unterstützen sogar 27 Sprachen, erkennen die Sprache anhand der Browsereinstellungen des Opfers und laden die richtige.

Sobald das Opfer seine Zugangsdaten eingegeben hat, fordert es ein neues Formular auf, den 2FA-Code einzugeben. Wenn der zweite Schritt nicht erfolgreich ist, wird eine Fehlermeldung angezeigt.

Aufforderung an das Opfer, seinen 2FA-Code erneut einzugeben
Aufforderung an das Opfer, seinen 2FA-Code erneut einzugeben (Gruppe-IB)

Wenn die Authentifizierung erfolgreich ist, wird der Benutzer zu einer vom C2 angegebenen URL umgeleitet, normalerweise einer legitimen Adresse, um die Wahrscheinlichkeit zu minimieren, dass das Opfer die Kompromittierung erkennt.

Zu diesem Zeitpunkt wurden die Anmeldeinformationen des Opfers bereits gestohlen und an die Bedrohungsakteure gesendet. Bei ähnlichen Angriffen entführen die Bedrohungsakteure schnell die Steam-Konten, ändern Passwörter und E-Mail-Adressen, um es den Opfern zu erschweren, die Kontrolle über ihre Konten zurückzugewinnen.

So erkennen Sie einen Browser-in-the-Browser-Angriff

In allen Browser-in-the-Browser-Phishing-Fällen ist die URL im Phishing-Fenster die legitime, da die Angreifer frei anzeigen können, was sie wollen, da es sich nicht um ein Browserfenster handelt, sondern lediglich um ein Rendering eines solchen.

Gleiches gilt für das Sperrsymbol des SSL-Zertifikats, das auf eine HTTPS-Verbindung hinweist und den Opfern ein falsches Sicherheitsgefühl vermittelt.

Schlimmer noch, das Phishing-Kit ermöglicht es Benutzern, das gefälschte Fenster herumzuziehen, zu minimieren, zu maximieren und zu schließen, wodurch es sehr schwierig wird, es als gefälschtes Browser-im-Browser-Fenster zu erkennen.

Gefälschtes Anmeldefenster im Hauptfenster gerendert
Gefälschtes Anmeldefenster im Hauptfenster gerendert (Gruppe-IB)

Da die Technik JavaScript erfordert, würde ein aggressives Blockieren von JS-Skripten verhindern, dass die gefälschte Anmeldung angezeigt wird. Die meisten Leute blockieren jedoch keine Skripte, da dies viele beliebte Websites beschädigen würde.

Der Schöpfer des Browser-in-the-Browser-Toolkits, Mr.D0x, sagte gegenüber BleepingComputer, dass die beste Methode, um zu überprüfen, ob ein Popup-Fenster echt ist, darin besteht, zu versuchen, es über das ursprüngliche Browserfenster hinaus zu verschieben.

„Versuchen Sie immer, das Popup-Fenster an den Rand des Browsers zu ziehen. Wenn es unter den Rand des Browsers geht, dann ist es BiTB“, erklärt Mr.D0x.

Group-IB teilte auch die folgenden Methoden zur Erkennung von Browser-in-the-Browser-Angriffen mit:

  • Überprüfen Sie, ob ein neues Fenster in der Taskleiste geöffnet wird, vorausgesetzt, Sie heben die Gruppierung von Programmen in der Windows 10-Taskleiste auf. Wenn kein neues Taskleistenfenster vorhanden ist, handelt es sich nicht um ein echtes Fenster. Leider unterstützt Windows 11 das Aufheben der Gruppierung derzeit nicht.
  • Versuchen Sie, die Größe des Fensters zu ändern. Wenn dies nicht möglich ist, handelt es sich wahrscheinlich um ein gefälschtes Browserfenster.
  • Gefälschte BiTB-Browserfenster werden geschlossen, wenn Sie sie minimieren.

Seien Sie im Allgemeinen sehr vorsichtig bei Direktnachrichten, die Sie auf Steam, Discord oder anderen spielbezogenen Plattformen erhalten, und vermeiden Sie es, Links zu folgen, die von Benutzern gesendet werden, die Sie nicht kennen.

Update 13.09.22: Weitere Möglichkeiten zur Erkennung von Browser-in-the-Browser-Phishing-Angriffen hinzugefügt.

Update 20.09.22: Ein Sprecher von Challengermode hat BleepingComputer folgenden Kommentar geschickt:

Die Angreifer versuchen, sich als unser legitimer Dienst (challengermode.com) auszugeben, indem sie ähnliche Domänennamen registrieren, an deren Entfernung wir aktiv arbeiten.

Wir möchten klarstellen, dass die echte Challengermode-Plattform einen gültigen Oauth2/OpenID-Fluss verwendet, der die Benutzeranmeldeinformationen privat hält und nicht versucht, Steam-Konten zu stehlen.

Leave a Comment

Your email address will not be published.