Group-IB обнаружила в июле этого года более 150 мошеннических ресурсов под популярную платформу дистрибуции компьютерных игр Steam. Для “угона” учетных записей геймеров злоумышленники используют недавно исследованную фишинговую технику Browser-in-the-browser, из-за чего фейки практически невозможно отличить от оригинальных страниц Steam. Специалисты Group-IB связались с компанией Valve, разработчиком Steam, и предупредила об угрозе для пользователей сервиса.

В настоящее время на Steam зарегистрированы около 120 миллионов геймеров, а число продаваемых на этой платформе игр превышает 50 000, в том числе такие бестселлеры, как Half-Life, Counter-Strike, Dota 2. Цена аккаунта начинающего игрока составляет десятки долларов, аккаунты ведущих пользователей оцениваются в $100 000 — $300 000. С начала запуска платформы в 2003 году киберпреступники с переменным успехом пытались завладеть “прокаченными” аккаунтами геймеров с помощью взлома привязанной почты, фишинговых страниц, однако не добились особого успеха.

Как выяснили специалисты Центра реагирования на инциденты информационной безопасности Group-IB (CERT-GIB (24/7), для того чтобы украсть учетные данные жертвы без лишних подозрений, злоумышленники с недавнего времени используют новую фишинговую технику Browser-in-the-browser. Она была впервые описана весной этого года исследователем mr.d0x и позволяет создавать прямо на фишинговом ресурсе всплывающее поддельное окно браузера, неотличимое на первый взгляд от настоящего.

Ловушки расставлены

Чтобы заманить жертв на страницу-приманку с кнопкой входа в учетную запись, злоумышленники отправляют пользователям в тематических чатах и пабликах сообщение с предложением присоединиться к киберспортивному турниру по популярным играм (League of Legends, Counter-Strike, Dota 2, PUBG), проголосовать за одну из команд, приобрести билеты на мероприятие, получить внутриигровой предмет или скин. Еще один способ заманить пользователей на фишинговый сайт — реклама в популярном видео с игрой (запись стрима, геймплей) или в описании к нему.

Применяя технику Browser-in-the-browser, злоумышленники пользуются тем, что на платформе Steam аутентификация происходит во всплывающем окне, а не в новой вкладке. В отличие от большинства мошеннических ресурсов, которые открывают фишинговую страницу в новой вкладке или делают переход, новая техника открывает поддельное окно браузера на прежней вкладке.

Злобный клон

Практически каждая кнопка на мошенническом ресурсе открывает форму ввода данных учетной записи, повторяющую оригинальное окно Steam. Во всплывающем окне есть фальшивый “зеленый замочек” — иконка SSL-сертификата организации. Ссылка в адресной строке поддельного окна не отличается от оригинальной — её можно выделить, скопировать, открыть в другой вкладке. Кнопки работают корректно, окно можно двигать по экрану. Кроме того, на обнаруженных в июле фишинговых ресурсах есть возможность выбора из 27 языков.

После того, как пользователь вводит данные в фишинговой форме, они сразу же отправляются злоумышленнику и автоматически вводятся на официальном ресурсе. Если ввести данные некорректно (один из способов проверки подлинности ресурса из игровых пабликов), то новая фишинговая форма сообщит об ошибке, как “настоящий” Steam. Если у жертвы включена двухфакторная аутентификация, то мошеннический ресурс покажет запрос кода в дополнительном окне.


Бороться с новыми фишинговыми техниками помогает комплексное решение Group-IB Digital Risk Protection для защиты цифровых активов. Всю работу по сканированию ресурсов, закрытых форумов и чатов, анализу данных и обнаружению нелегитимное использованию бренда выполняют средства автоматического мониторинга (парсеры, веб-краулеры, API). В зависимости от типа инцидента предпринимаются оперативные меры реагирования — от прямой блокировки ресурса до удаления нелегальных сайтов и приложений из поисковой выдачи.

Как отличить фишинговую форму Browser-in-the-browser:

• Сверить дизайн заголовка и адресной строки открывшегося окна. Подделка может отличаться от стандартной для вашего браузера.
• Стоит обратить внимание на шрифты и вид кнопок управления.
• Проверить, открылось ли новое окно в панели задач. Если нет — окно поддельное.
• Попытаться увеличить/уменьшить окно — поддельное не предоставляет такой возможности. Также не получится его развернуть на весь экран.
• Окно ограничено экраном браузера — его не получится передвинуть на элементы управления изначальной вкладки.
• Кнопка сворачивания поддельного окна просто закрывает его.
• В фишинговой форме “замочек”, отображающий сертификат, — обычное изображение. При нажатии на него не произойдет ничего, тогда как настоящий браузер предложит посмотреть информацию об SSL-сертификате.
• Поддельная адресная строка не функциональна. В некоторых случаях она не позволяет ввести другой URL, но даже если позволит — перейти на него в этом же окне будет невозможно.
• Окно перестанет появляться при отключении исполнения JS-скриптов в настройках браузера.

Вступай в группу, чтобы ничего не пропустить