黑客利用BITB網絡釣魚，竊取用戶的Steam 帳戶

據外媒網站消息，黑客正利用新型瀏覽器網絡釣魚技術（BITB），竊取用戶的Steam賬戶。由Group-IB發布的報告中，說明了BITB攻擊針對Steam用戶的釣魚過程，并出售這些賬戶的訪問權限。這些目標賬戶大多在 100000 美元到 300000 美元之間。

關于BITB

Browser In The Bopwser（BITB）是一種逐漸流行的攻擊手法，主要在活動窗口中創建偽造的登錄頁面，通常為用戶所要登錄服務的彈出頁。

2022年3月，外媒網站曾報道過由安全研究員 mr.d0x創建的這種新網絡釣魚工具包，該工具包可以讓攻擊者為 Steam、Microsoft、Google 和任何其他服務創建虛假登錄表單。該項目的初中主要是服務于攻防中的紅底人員。

2022年12月，由 Group-IB發布的關于此類攻擊的研究報告中說明了BITB攻擊針對Steam用戶的釣魚過程，并出售這些賬戶的訪問權限。這些目標賬戶通常價值不菲，大多在 100000 美元到 300000 美元之間。

攻擊過程

釣魚的第一步，是在Steam上向受害目標發送加入英雄聯盟、CS、Dota 2 或 PUBG 錦標賽團隊的邀請，受害者若點擊邀請中的鏈接，就會被帶往一個贊助和舉辦電子競技比賽組織的網站。

該網站是一個釣魚網站，受害者被要求使用Steam賬號登錄加入團隊，但登錄頁面窗口并不是覆蓋在現有網站上的實際瀏覽器窗口，而是在當前頁面中創建的虛假窗口，受害者很難識別是網絡釣魚攻擊。

令人驚訝的是，這個釣魚登錄頁面支持27個國家的語言，能自動從受害者的瀏覽器偏好中檢測語言設置，并加載相應的語言。一旦受害者輸入Steam賬戶憑證，一個新產生的表單就會提示輸入2FA代碼，如果身份驗證成功，用戶將被重定向到 C2 指定的 URL，通常會是一個合法地址，讓受害者不會意識到這是網絡釣魚。

此時，受害者的憑證已經被盜并已經發給攻擊者。在類似的攻擊中，攻擊者為了盡快控制竊取的Steam 帳戶，會立即更改密碼和電子郵件地址，這樣使得受害者很難重新索回賬戶。

怎么發現BITB攻擊？

在BITB網絡釣魚案例中，網絡釣魚窗口中的URL都是合法的，它的本質是一個渲染窗口，而非瀏覽器窗口。這個窗口允許用戶拖動、將其最大化最小化或者關閉。所以很難看得出這是一個在瀏覽器中生成的虛假瀏覽器窗口。

因為這個技術需要JavaScript，所以有效的預防措施是阻止JS腳本，但是這樣做有時會影響很多網站的一些功能。為了預防此類網絡攻擊，要警惕在Steam等平臺上收到的陌生消息，并且不要隨意點擊不明鏈接。