BITB(Browser in the Browser)攻撃でSTEAMアカウントがターゲットに

最近ハッカーによる新しい攻撃相手および資金を得る方法として、Browser-in-the-Browser(BITB) フィッシング手法が流行しています。特に著名eスポーツ選手のSteam アカウント盗むことに成功すると、 そのSteam アカウントの価値は 10万ドル(1400万円)から 30 万ドル(4200万円)での販売が可能だからです。

Browser-in-the-Browser 手法は、ブラウザーウィンドウ内に偽のブラウザーウィンドウを作成し、それをSteamなど標的とするログインサービスのサインイン ポップアップ ページとして表示させる、最近流行している攻撃方法です。

ハッカーによる潜在的な被害者となるeスポーツ選手は、LoL、ConterStrike、Dota2、または PUBG トーナメントのチームに参加を誘う招待状やメッセージをTwitterやSteam上のダイレクトメッセージを受け取ります。

ハッカーは、偽のeスポーツ大会のページを作成し、主催者や後援がある公式な大会であると思わせます。その大会にエントリーするためにSteamアカウントによるエントリーが求められます。この入力ウインドウがSteam公式のログインウインドウ上にオーバーレイ表示されているため、ID、パスワードを入力している利用者はフィッシング攻撃のサイトであると認識するのは非常に困難になっています。丁寧なことに、27もの言語をサポートしており、ユーザーの利用する言語をブラウザ設定から検出してロードする機能も装備しており、違和感はまったくありません。

更にスマートフォンによる二要素認証(2FA)の入力も同様のオーバーレイ表示された偽ウインドウで求められます。二要素認証の情報を入力した段階で、ハッカーにアカウントは完全に乗っ取られています。ハッカーは Steam アカウントのパスワードと電子メール アドレスを自動的に変更して、被害者がアカウントの制御を取り戻すのをより困難にします。

スマートフォンによる認証が成功すると、被害者が侵害に気付く可能性を最小限に抑えるために、ユーザーは C2サーバ によって指定された URL (通常は正当なアドレス) にリダイレクトされます。被害者が次回ゲームを行うまでの間、乗っ取られたことに気がつかないかもしれません。

Browser-in-the-Browser 攻撃の見分け方

Browser-in-the-Browser フィッシングのすべてのケースでは、フィッシング ウィンドウの URL が正当な URL です。なぜなら、それはブラウザーウィンドウではなく、単なるレンダリングであるため、攻撃者は自由に好きなものを表示できるからです。

SSL 証明書のロック シンボルにも同じことが当てはまり、HTTPS 接続を示し、被害者に誤った安心感を与えます。

さらに悪いことに、Discord または Telegram チャネルで出回っているフィッシング キットを使用すると、ユーザーは偽のウィンドウをドラッグし、最小化し、最大化し、閉じることができるため、偽のBrowser-in-the-Browserウィンドウを識別するのが非常に難しくなります。

Browser-in-the-Browser 攻撃を検出する次の方法

  • Windows 10 タスクバーでプログラムのグループ化を解除すると仮定し、タスクバーで新しいウィンドウが開いているかどうかを確認します。新しいタスクバー ウィンドウが存在しない場合、これは実際のウィンドウではありません。残念ながら、現時点では Windows 11 はグループ解除をサポートしていません。
  • ウィンドウのサイズを変更してみてください。できない場合は、偽のブラウザーウィンドウである可能性があります。
  • 偽の BITB ブラウザーウィンドウは、最小化すると閉じます。

一般に、Steam、Discord、またはその他のゲーム関連プラットフォームで受信したダイレクト メッセージには十分に注意し、知らないユーザーから送信されたリンクをクリックしないようにしてください。

この攻撃手法は、ブラウザー内のJavaScriptが利用されています。この悪質なJavaScriptをブラウザー拡張機能によって識別し制御することは論理的には可能かもしれませんが、PC Matic WebShieldも含めてこの攻撃への有効な対処方法は、現時点では存在していません。※

C2サーバをブラックリスト入りさせても、最近は90分程度でC2サーバは変更されるのが常であるため、これも有効な手法とは言えません。大会への招待は、昔ながらのレターに戻るのでしょうか・・・。

※2022/09/25追記 9/21付けにて、マイニングスクリプト対策と同じ方法にてBITB攻撃への対処が完了致しました。但し、副作用として一部の正規のホームページにて、キャラクターが画面上を動くようなオーバーレイをJavaScriptにて実現しているページに関し、キャクラターが消えてしまう事象が発生する可能性があります。

引用元:https://www.bleepingcomputer.com/news/security/hackers-steal-steam-accounts-in-new-browser-in-the-browser-attacks/