Posté le septembre 15, 2022 à 9:50
LES HACKERS UTILISENT LA TECHNIQUE « BROWSER-IN-THE-BROWSER » POUR VOLER LES IDENTIFIANTS STEAM
Des hackers ont ciblé les informations d’identification Steam dans une nouvelle campagne de phishing. La campagne baptisée « Browser-in-the-Browser » (navigateur dans le navigateur) la technique a été déployée au cours de la campagne, selon un rapport des chercheurs en sécurité de Group-IB.
Des hackers utilisent la technique BitB pour une nouvelle campagne de phishing
Il existe des différences notables entre cette technique de phishing et les autres utilisées dans le passé. Dans la campagne de phishing traditionnelle, les pages Web de phishing étaient ouvertes dans un nouvel onglet et les utilisateurs étaient redirigés vers celles-ci.
Cependant, avec BitB, les hackers prennent des mesures supplémentaires pour garantir que les internautes ne se rendront pas compte que la ressource n’est pas légitime. Pour ce faire, ils ouvrent une fausse fenêtre de navigateur dans le même onglet pour éviter toute suspicion.
Lorsqu’un utilisateur saisit ses données dans le formulaire malveillant, celles-ci sont envoyées aux hackers avant d’entrer dans la ressource légitime. Les hackers sont également agressifs dans l’extraction des données de l’utilisateur car si les données fournies ne sont pas correctes, l’utilisateur verra un message d’erreur qui l’invitera à fournir des détails précis.
L’authentification à deux facteurs n’empêchera pas le hacker d’accéder aux détails d’un utilisateur. Lorsque l’option 2F a été activée, la ressource lancera une demande de code. Le code sera créé par un programme distinct qui enverra une notification push à l’appareil de l’utilisateur. La nature de cette stratégie d’attaque montre la persistance du hacker et l’étendue de ses efforts pour faire apparaître la ressource comme légitime.
Le rapport technique publié par Group-IB décrit également comment la campagne « Browser-in-the-Browser » cible les informations d’identification Steam. Une fois ces informations d’identification obtenues, elles sont vendues à d’autres acteurs malveillants qui souhaitent accéder à ces comptes.
Une partie de l’avis a indiqué que cette attaque a été détectée pour la première fois au printemps 2022. L’avis a par ailleurs précisé que les acteurs de la menace profitaient du mode de fonctionnement de la plateforme Steam. Steam utilise une fenêtre pop-up, qui est une fonctionnalité que les hackers manipulent. La fenêtre pop-up est utilisée pour l’authentification de l’utilisateur au lieu d’ouvrir un nouvel onglet de fenêtre.
L’avis indique également que les auteurs de la menace ont envoyé aux victimes des messages contenant différentes offres alléchantes. Ces offres ont été créées pour attirer les utilisateurs vers la page Web contenant un bouton de connexion.
Le rapport du Group-IB ajoute en outre que les pages Web contiennent de nombreux boutons qui attirent l’utilisateur. Une fois que l’un de ces boutons est pressé, il ouvre une fenêtre de saisie de données de compte qui ressemble à une fenêtre Steam légitime. Ceci est fait pour s’assurer que l’utilisateur ne peut pas distinguer les pages authentiques de celles qui ne le sont pas.
La fenêtre pop-up d’appât est accompagnée d’un faux signe de verrouillage vert, d’un faux lien URL qui peut être copié, et d’une fenêtre supplémentaire de Steam Guard qui fournit une authentification à deux facteurs. Group-IB a également ajouté que le contenu des pages de phishing de BitB était entièrement copié des pages originales. Dans la plupart des cas, le contenu de la page de phishing comprenait également une alerte concernant la sauvegarde de données via une ressource tierce.
Par ailleurs, les pages de phishing contenaient tous les boutons désactivés, à l’exception de la confirmation de connexion et de l’option permettant de changer de langue. Les 27 langues de l’interface fonctionnaient également toutes, la sélection étant la même que celle utilisée sur la page légitime.
Certains des comptes Steam touchés par le hameçonnage contenaient d’importantes sommes d’argent. Selon le rapport, certains étaient évalués entre 100 000 et 300 000 dollars. La forte valorisation de ces comptes montre les dégâts causés par les acteurs de la menace.
Quelques recommandations aux entreprises pour se protéger
Dans le rapport, le Group-IB fournit également des conseils et des recommandations que les entreprises pourraient utiliser pour se protéger de telles attaques à l’avenir. Le Group-IB a indiqué comment les entreprises peuvent détecter les fausses fenêtres de navigateur. Il s’agit notamment de comparer la conception de l’en-tête et de la barre d’adresse apparaissant dans la fenêtre pop-up.
Les utilisateurs peuvent également essayer de redimensionner les fenêtres pour détecter si elles sont fausses ou authentiques. Les fausses fenêtres ne peuvent pas être redimensionnées. Les utilisateurs doivent également vérifier la fonctionnalité de la barre d’adresse.
Les recherches menées par Group-IB se sont principalement concentrées sur les campagnes de phishing de BitB. Cette recherche intervient dans un contexte d’augmentation notable des attaques de cybersécurité dans le secteur de jeux. Par exemple, un rapport publié en août par la société de cybersécurité Akamai a suggéré que les attaques de cybersécurité au sein du secteur des jeux blockchain étaient en hausse. Les attaques sur ce secteur avaient augmenté de 167% au cours de l’année écoulée.
