Bilgisayar korsanları, tehdit aktörleri arasında popülerlik kazanan bir tarayıcı kimlik avı tekniği kullanarak Steam kimlik bilgilerini çalmak için yeni saldırılar başlatıyor.
Tarayıcıdaki tarayıcı tekniği, etkin pencerede sahte tarayıcı pencerelerinin oluşturulmasını içeren bir trend saldırı yöntemidir ve bu da hedeflenen bir giriş hizmeti için bir oturum açma açılır sayfası olarak görünmesini sağlar.
Mart 2022'de BleepingComputer, güvenlik araştırmacısı Mr.D0X tarafından oluşturulan bu yeni kimlik avı kitinin yeteneklerini ilk rapor eden oldu. Bu kimlik avı kitini kullanarak, tehdit aktörleri Steam, Microsoft, Google ve diğer hizmetler için sahte giriş formları oluşturur.
Bugün, Group-Ib, 'tarayıcı tarayıcısı' yöntemini kullanan yeni bir kampanyanın buhar kullanıcılarını nasıl hedeflediğini ve profesyonel oyuncuların hesaplarının peşinden nasıl ilerlediğini gösteren yeni bir rapor yayınladı.
Bu kimlik avı saldırıları, 100.000 ila 300.000 dolar arasında olan bazı önemli buhar hesapları ile bu hesaplara erişim satmayı amaçlamaktadır.
Grup-IB, gözlemlenen Steam kampanyasında kullanılan kimlik avı kitinin hack forumlarında veya karanlık web pazarlarında yaygın olarak mevcut olmadığını bildiriyor. Bunun yerine, saldırılarını koordine etmek için anlaşmazlık veya telgraf kanallarında bir araya gelen bilgisayar korsanları tarafından özel olarak kullanılır.
Potansiyel kurbanlar, Steam ile ilgili doğrudan mesajlarla hedeflenerek onları LOL, CS, DOTA 2 veya PUBG turnuvaları için bir ekibe katılmaya davet ediyor.
Kimlik avı aktörlerinin paylaştığı bağlantılar, eSports yarışmalarına sponsor olan ve barındıran bir organizasyon için hedefleri bir kimlik avı sitesine getirecek.
Bir takıma katılmak ve bir yarışmada oynamak için ziyaretçilerin Steam hesapları üzerinden giriş yapmaları istenir. Ancak, yeni oturum açma sayfası penceresi, mevcut web sitesi üzerinde kaplanmış gerçek bir tarayıcı penceresi değil, mevcut sayfada oluşturulan sahte bir pencere, kimlik avı saldırısı olarak tespit etmeyi çok zorlaştırıyor.
Açılış sayfaları 27 dili bile destekler, kurbanın tarayıcı tercihlerinden dili tespit eder ve doğru olanı yükler.
Mağdur kimlik bilgilerine girdiğinde, yeni bir form onları 2FA koduna girmelerini ister. İkinci adım başarısız olursa, bir hata mesajı görüntülenir.
Kimlik doğrulama başarılı olursa, kullanıcı, mağdurun uzlaşmayı gerçekleştirme şansını en aza indirmek için, genellikle meşru bir adres olan C2 tarafından belirtilen bir URL'ye yönlendirilir.
Bu noktada, kurbanın kimlik bilgileri zaten çalındı ve tehdit aktörlerine gönderildi. Benzer saldırılarda, tehdit aktörleri, kurbanların hesapları üzerinde kontrolü yeniden kazanmasını zorlaştırmak için şifreleri ve e -posta adreslerini değiştirerek buhar hesaplarını hızla ele geçiriyor.
Tarayıcıdaki tüm tarayıcı kimlik avı vakalarında, kimlik avı penceresindeki URL meşrudur, çünkü tehdit aktörleri bir tarayıcı penceresi değil, sadece bir render olduğu için istedikleri her şeyi görüntülemekte özgürdür.
Aynı şey, bir HTTPS bağlantısını gösteren ve mağdurlar için yanlış bir güvenlik duygusu oluşturan SSL sertifika kilit sembolü için de geçerlidir.
Daha da kötüsü, kimlik avı kiti kullanıcıların sahte pencereyi sürüklemesine, en aza indirmesine, en üst düzeye çıkarmasına ve kapatmasına izin verir, bu da tarayıcı içinde sahte bir tarayıcı penceresi olarak tespit etmeyi çok zorlaştırır.
Teknik JavaScript gerektirdiğinden, JS komut dosyalarını agresif bir şekilde engellemek sahte girişin görüntülenmesini önleyecektir. Ancak, çoğu insan birçok popüler web sitesini kıracağı için komut dosyalarını engellemez.
Genel olarak, buhar, uyumsuzluk veya oyunla ilgili diğer platformlarda alınan doğrudan mesajlara çok dikkat edin ve bilmediğiniz kullanıcılar tarafından gönderilen bağlantıları takip etmekten kaçının.
Yeni Kimlik avı araç seti, herkesin sahte krom tarayıcı pencereleri oluşturmasına izin verir
CS: Git Ticaret Sitesi 6 milyon dolarlık deriler çalmak için hacklendi
Gifshell Saldırısı Microsoft Teams GIF'leri kullanarak ters kabuk oluşturur
CISA, ajanslara krom, D-Link kusurlarını patlatmasını emreder, saldırılarda kullanılan
Minecraft, korsanların kötü amaçlı yazılımları gizlemek için favori oyun unvanıdır
Kaynak: Bleeping Computer