Browser-in-the-browser: мошенники угоняют учетки геймеров в Steam

Browser-in-the-browser: мошенники угоняют учетки геймеров в Steam

Group-IB обнаружила 150 мошеннических ресурсов, замаскированных под популярную платформу компьютерных игр — Steam. Учетные записи геймеров угоняют незаметной фишинговой техникой “Browser-in-the-browser“.

Сейчас на Steam зарегистрировано 120 миллионов геймеров, а число продаваемых на этой платформе игр превышает 50 тыс. единиц. Речь о бестселлерах: Half-Life, Counter-Strike и Dota 2. Цена аккаунта начинающего игрока составляет десятки долларов, аккаунты ведущих пользователей оцениваются в $100 000 — $300 000.

С момента запуска платформы в 2003 году киберпреступники с переменным успехом пытались завладеть “прокаченными” аккаунтами геймеров, но без особого результата.

Теперь жертв заманивают на страницу-приманку чатовыми предложениями присоединиться к киберспортивному турниру по League of Legends, Counter-Strike, Dota 2, PUBG. На сайте можно проголосовать за команду, купить билеты, получить внутриигровой предмет или скин. Еще один способ — реклама в популярном видео с игрой (запись стрима, геймплей) или в описании к нему.

Применяя технику Browser-in-the-browser, злоумышленники пользуются тем, что на платформе Steam аутентификация происходит во всплывающем окне, а не в новой вкладке, говорят эксперты Group-IB.

В отличие от большинства мошеннических ресурсов, которые открывают фишинговую страницу в новой вкладке или делают переход, новая техника открывает поддельное окно браузера в прежней вкладке.

Практически каждая кнопка на мошенническом ресурсе выводит форму ввода данных учетной записи, повторяющую оригинальное окно Steam. Во всплывающем окне есть фальшивый “зеленый замочек” — иконка SSL-сертификата организации.

Ссылка в адресной строке поддельного окна не отличается от оригинальной — её можно выделить, скопировать, открыть в другой вкладке. Кнопки работают корректно, окно можно двигать по экрану. Кроме того, на обнаруженных в июле фишинговых ресурсах можно выбрать один из 27 языков.

Геймер вводит данные в фишинговой форме, они сразу отправляются злоумышленнику и автоматически вводятся на официальном ресурсе. Если ввести данные некорректно (один из способов проверки подлинности ресурса из игровых пабликов), то новая фишинговая форма сообщит об ошибке, как “настоящий” Steam. Если у жертвы включена двухфакторная аутентификация, то мошеннический ресурс покажет запрос кода в дополнительном окне.

“Похоже, прежние советы, которые несколько лет назад помогали геймерам определить фишинговый сайт, сегодня уже бесполезны против нового метода мошенников, — отмечает Александр Калинин, руководитель Центра реагирования на инциденты информационной безопасности Group-IB. — Фишинговые ресурсы, использующие технологию Browser-in-the-browser, представляют опасность даже для опытных пользователей Steam, соблюдающих основные правила кибербезопасности”.

В отличие от распространенных мошеннических схем, в которых наборы готовых инструментов для фишинговых страниц разрабатываются для продажи, решения Browser-in-the-browser для Steam держатся злоумышленниками в секрете.

“Мы обращаем внимание игрового комьюнити на новую схему мошенничества и призываем соблюдать рекомендации и быть внимательными при вводе своих данных, — предупредили в Group-IB.

Как отличить фишинговую форму Browser-in-the-browser:

  • Сверить дизайн заголовка и адресной строки открывшегося окна. Подделка может отличаться от стандартной для вашего браузера. Стоит обратить внимание на шрифты и вид кнопок управления.
  • Проверить, открылось ли новое окно в панели задач. Если нет — окно поддельное.
  • Попытаться увеличить/уменьшить окно — поддельное не предоставляет такой возможности. Также не получится его развернуть на весь экран.
  • Окно ограничено экраном браузера — его не получится передвинуть на элементы управления изначальной вкладки.
  • Кнопка сворачивания поддельного окна просто закрывает его.
  • В фишинговой форме “замочек”, отображающий сертификат, — обычное изображение. При нажатии на него не произойдет ничего, тогда как настоящий предложит посмотреть информацию о SSL-сертификате.
  • Поддельная адресная строка не функциональна. В некоторых случаях она не позволяет ввести другой URL, но даже если позволит — перейти на него в этом же окне будет невозможно.
  • Окно перестанет появляться при отключении исполнения JS-скриптов в настройках браузера.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Шифровальщик Diavol вернулся, сменив визуальные IoC

После долгого перерыва на VirusTotal вновь стали множиться образцы вымогательской программы Diavol. Анализ новейших из них показал, что вредонос стал 64-битным, сменил имя записки с требованием выкупа и добавляемое расширение, но файлы шифрует по-прежнему — с помощью XOR и RSA.

В ИБ-сообществе считают Diavol творением создателей TrickBot, влившихся в сообщество Conti. После распада преступного синдиката сторонний шифровальщик затих, а теперь, видимо, возобновил атаки. Специалисты по реверс-инжинирингу изучили новые семплы и пришли к выводу, что в некоторых случаях восстановление файлов все еще возможно.

В рамках обновления операторы зловреда изменили расширение, добавляемое к зашифрованным файлам, — вместо прежнего .lock64 используется .bully. Записка, оставляемая на машине жертвы, теперь именуется WARNING.txt (на самом деле новое название файла всплыло еще в ноябре прошлого года, а текст в нынешнем виде появился в минувшем июне).

Система шифрования данных осталась прежней — XOR + RSA, но она настолько необычна, что исследователи разобрали ее и в мартовском блоге, и сейчас. Перед началом процесса Diavol генерирует и сохраняет в теле ключ длиной 2048 байт для выполнения операций XOR над данными (уникален для каждой жертвы, но один для всех ее файлов).

Затем вредонос начинает в цикле дробить файлы на блоки по 2048 байт, отбрасывая остаток. После этого ко всем считанным блокам применяется XOR, итог записывается обратно в обрабатываемые файлы.

 

В конец файла записываются XOR-ключ, зашифрованный по RSA (публичный ключ хранится в коде зловреда), а также объем обработанных данных — число также кодируется разовым прогоном XOR.

К сожалению, это еще не все. Завершив первый этап, вредонос возвращается к началу файла и начинает считывать блоки 0x75 байт, шифровать их по RSA с возвратом результата в тот же файл, но без добавления ничего не значащих данных (паддинга).

Такой способ шифрования, по мнению исследователей, вселяет надежду. Получив XOR-ключ, можно без особого труда вернуть содержимое многих файлов — за исключением первых 1170 байт, которые придется отстраивать заново.

Напомним, жертвы Diavol могут также воспользоваться бесплатным декриптором, который уже доступен на сайте No More Ransom.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru