近期,一种新的网络钓鱼活动将目标锁定为热门游戏《反恐精英 2》的玩家。攻击者利用名为浏览器中的浏览器(BitB)的攻击手段,在用户浏览器中展示与 Steam 登录页面极为相似的逼真窗口。
攻击者为增加钓鱼页面的可信度,选择冒充乌克兰知名电子竞技团队 Navi,以此吸引该团队的忠实粉丝。由于 Navi 在电竞圈具有较高知名度,玩家容易因对团队的信任而降低警惕。
此次活动所采用的 BitB 网络钓鱼技术,由网络安全研究员 mr. dox 于 2022 年 3 月创建。这一网络钓鱼框架使威胁行为者能够在另一个浏览器窗口内,创建具有自定义地址 URL 和标题的逼真弹出窗口。简单来说,该技术会在真实浏览器窗口(即 “浏览器中的浏览器”)内生成虚假浏览器窗口,用于制作登录页面或其他真实表单,目的是窃取用户的凭据或一次性多因素身份验证(MFA)密码(OTP)。早在 2022 年晚些时候,威胁行为者就已采用这种浏览器中的浏览器攻击方式,企图窃取 Steam 账户。
使用BitB框架的Facebook钓鱼页面 来源:mr.d0x
针对 Steam 账户
在 Silent Push 研究人员监测到的一项活动中,威胁行为者借助 YouTube 视频及其他可能的推广渠道,将潜在受害者引流至钓鱼网站。值得注意的是,这些网站均使用相同的 IP 地址,表明该活动极有可能由单个攻击者或团体策划实施。这些网站打着提供带有新皮肤的免费 CS2 战利品箱的旗号,诱惑玩家。
YouTube 上的宣传信息 来源:Silent Push
涉及的承诺提供 CS2 游戏内物品的恶意网站包括:
· caserevs [.] com
· caseneiv [.] com
· casenaps [.] com
· caseners [.] com
· caseneiv [.] com
· simplegive [.] cn
· caseneus [.] cfd
玩家若想领取所谓的礼物,就需通过看似 Steam 登录弹出窗口的界面登录自己的 Steam 账户。但实际上,打开的这个弹出窗口并非真实的 Steam 登录窗口。攻击者运用 BitB 技术,在活动窗口内呈现出一个模仿 Steam 官方 URL 和界面的虚假登录窗口,它看似弹出窗口,实则为精心伪装的陷阱。这些虚假窗口无法调整大小,也不能像普通弹出窗口那样被拖出活动窗口范围。不过,若用户没有尝试对其进行相关交互操作,很可能难以察觉其中的恶意行为。
钓鱼页面上的虚假 Steam 登录弹窗 来源:Silent Push
攻击者实施这些攻击,旨在窃取 Steam 账户,随后在专门的灰色市场上转售。根据账户所拥有的游戏收藏规模以及游戏内物品的珍稀程度,转售价格可达数万甚至数十万美元。
Steam 账户在 playerauctions[.]com 上出售 来源:Silent Push
尽管《反恐精英 2》已推出多年,但在电子竞技社区中依旧广受欢迎。也正因如此,威胁行为者频繁利用知名团队以及职业级比赛作为诱饵,试图骗取玩家的 Steam 账户。就在上个月,Bitdefender 曾报道过一场大规模活动,该活动利用虚假的 YouTube CS2 直播以及二维码,将用户引导至声称赠送游戏内物品和加密货币的恶意网站。用户一旦点击链接进入钓鱼网站,就会被要求输入 Steam 账户凭证或连接加密货币钱包,最终却发现自己的账户凭证被盗取,加密货币钱包被劫持或清空。
为有效提升 Steam 账户的安全性,建议用户激活多重身份验证功能,启用 “Steam Guard 移动身份验证器”,并定期查看登录活动记录,以便及时发现可疑登录行为,切实保障自身账户安全。
参考及来源:https://www.bleepingcomputer.com/news/security/browser-in-the-browser-attacks-target-cs2-players-steam-accounts/
