「Browser-in-the-Browser」フィッシング攻撃

詐欺師は、Browser-in-the-Browser と呼ばれる新しいフィッシング手法を使用して、被害者から機密のアカウント資格情報を取得しています。これまでのところ、攻撃者は主に Steam ユーザーとプロのゲーマーを標的にしているようです。一部の著名な Steam アカウントは 10 万ドルから 30 万ドルの価値があると推定されているため、侵害されたアカウントは売りに出される可能性があります。

Steam は PC ゲーム向けの最大のデジタル配信プラットフォームであり、その開発者である Valve Corporation は、CS: GO や DOTA 2 など、世界最大の e スポーツ タイトルも所有しています。Browser-in-the-Browser フィッシング攻撃は、おとりメッセージから始まります。 Steam 経由でユーザーに直接送信されます。詐欺師は、被害者を人気のある競技ゲーム (LoL、CS、DOTA 2、PUBG) のチームに参加させ、想定されるトーナメントに参加するように誘います。おとりメッセージに含まれるリンクは、疑いを持たない被害者を、あたかも e スポーツ大会を主催する組織に属しているかのように設計された偽のサイトに誘導します。ユーザーがチームに参加しようとすると、Steam アカウント経由でログインするよう求められます。

ここで、Browser-in-the-Browser 手法の出番です。通常、既存の Web サイトに重ねて表示される正当なログイン ウィンドウの代わりに、現在のページ内に作成された偽のウィンドウが被害者に表示されます。偽のウィンドウは本物のウィンドウと視覚的に同一であり、その URL は正規のアドレスと一致するため、何かがおかしいことに気付くのは非常に困難です。ランディング ページは、被害者が使用するデフォルトの言語に合わせて 27 の異なる言語から選択することもできます。

アカウント資格情報を入力すると、2FA (2 要素認証) コードを求める新しいプロンプトが表示されます。正しいコードを提供しないと、エラー メッセージが表示されます。ユーザーが認証に合格すると、操作のコマンド アンド コントロール (C2) サーバーによって決定される新しいアドレスにリダイレクトされます。通常、このアドレスは、詐欺師の行動を隠す方法として、正当な Web サイトに属しています。ただし、この時点で、被害者の資格情報はすでに侵害されており、攻撃者に送信されています。

Browser-in-the-Browser フィッシングの手法と攻撃操作全体の詳細は、セキュリティ研究者によるレポートで公開されました。彼らの調査結果によると、Steam キャンペーンで利用されたフィッシング キットは、ハッキング フォーラムでは販売されていません。代わりに、Discord または Telegram チャネルでの活動を調整するサイバー犯罪者の狭い範囲内に留められています。