近期，一種新的網(wǎng)絡(luò)釣魚活動將目標鎖定為熱門游戲《反恐精英 2》的玩家。攻擊者利用名為瀏覽器中的瀏覽器（BitB）的攻擊手段，在用戶瀏覽器中展示與 Steam 登錄頁面極為相似的逼真窗口。

攻擊者為增加釣魚頁面的可信度，選擇冒充烏克蘭知名電子競技團隊 Navi，以此吸引該團隊的忠實粉絲。由于 Navi 在電競?cè)哂休^高知名度，玩家容易因?qū)F隊的信任而降低警惕。

此次活動所采用的 BitB 網(wǎng)絡(luò)釣魚技術(shù)，由網(wǎng)絡(luò)安全研究員 mr. dox 于 2022 年 3 月創(chuàng)建。這一網(wǎng)絡(luò)釣魚框架使威脅行為者能夠在另一個瀏覽器窗口內(nèi)，創(chuàng)建具有自定義地址 URL 和標題的逼真彈出窗口。簡單來說，該技術(shù)會在真實瀏覽器窗口（即 “瀏覽器中的瀏覽器”）內(nèi)生成虛假瀏覽器窗口，用于制作登錄頁面或其他真實表單，目的是竊取用戶的憑據(jù)或一次性多因素身份驗證（MFA）密碼（OTP）。早在 2022 年晚些時候，威脅行為者就已采用這種瀏覽器中的瀏覽器攻擊方式，企圖竊取 Steam 賬戶。

使用BitB框架的Facebook釣魚頁面 來源：mr.d0x

針對 Steam 賬戶

在 Silent Push 研究人員監(jiān)測到的一項活動中，威脅行為者借助 YouTube 視頻及其他可能的推廣渠道，將潛在受害者引流至釣魚網(wǎng)站。值得注意的是，這些網(wǎng)站均使用相同的 IP 地址，表明該活動極有可能由單個攻擊者或團體策劃實施。這些網(wǎng)站打著提供帶有新皮膚的免費 CS2 戰(zhàn)利品箱的旗號，誘惑玩家。

YouTube 上的宣傳信息 來源：Silent Push

涉及的承諾提供 CS2 游戲內(nèi)物品的惡意網(wǎng)站包括：

· caserevs [.] com

· caseneiv [.] com

· casenaps [.] com

· caseners [.] com

· caseneiv [.] com

· simplegive [.] cn

· caseneus [.] cfd

玩家若想領(lǐng)取所謂的禮物，就需通過看似 Steam 登錄彈出窗口的界面登錄自己的 Steam 賬戶。但實際上，打開的這個彈出窗口并非真實的 Steam 登錄窗口。攻擊者運用 BitB 技術(shù)，在活動窗口內(nèi)呈現(xiàn)出一個模仿 Steam 官方 URL 和界面的虛假登錄窗口，它看似彈出窗口，實則為精心偽裝的陷阱。這些虛假窗口無法調(diào)整大小，也不能像普通彈出窗口那樣被拖出活動窗口范圍。不過，若用戶沒有嘗試對其進行相關(guān)交互操作，很可能難以察覺其中的惡意行為。

釣魚頁面上的虛假 Steam 登錄彈窗 來源：Silent Push

攻擊者實施這些攻擊，旨在竊取 Steam 賬戶，隨后在專門的灰色市場上轉(zhuǎn)售。根據(jù)賬戶所擁有的游戲收藏規(guī)模以及游戲內(nèi)物品的珍稀程度，轉(zhuǎn)售價格可達數(shù)萬甚至數(shù)十萬美元。

Steam 賬戶在 playerauctions[.]com 上出售 來源：Silent Push

盡管《反恐精英 2》已推出多年，但在電子競技社區(qū)中依舊廣受歡迎。也正因如此，威脅行為者頻繁利用知名團隊以及職業(yè)級比賽作為誘餌，試圖騙取玩家的 Steam 賬戶。就在上個月，Bitdefender 曾報道過一場大規(guī)模活動，該活動利用虛假的 YouTube CS2 直播以及二維碼，將用戶引導(dǎo)至聲稱贈送游戲內(nèi)物品和加密貨幣的惡意網(wǎng)站。用戶一旦點擊鏈接進入釣魚網(wǎng)站，就會被要求輸入 Steam 賬戶憑證或連接加密貨幣錢包，最終卻發(fā)現(xiàn)自己的賬戶憑證被盜取，加密貨幣錢包被劫持或清空。

為有效提升 Steam 賬戶的安全性，建議用戶激活多重身份驗證功能，啟用 “Steam Guard 移動身份驗證器”，并定期查看登錄活動記錄，以便及時發(fā)現(xiàn)可疑登錄行為，切實保障自身賬戶安全。

參考及來源：https://www.bleepingcomputer.com/news/security/browser-in-the-browser-attacks-target-cs2-players-steam-accounts/