黑客利用BITB网络钓鱼，窃取用户的Steam 帐户

据外媒网站消息，黑客正利用新型浏览器网络钓鱼技术（BITB），窃取用户的Steam账户。由Group-IB发布的报告中，说明了BITB攻击针对Steam用户的钓鱼过程，并出售这些账户的访问权限。这些目标账户大多在 100000 美元到 300000 美元之间。

关于BITB

Browser In The Bopwser（BITB）是一种逐渐流行的攻击手法，主要在活动窗口中创建伪造的登录页面，通常为用户所要登录服务的弹出页。

2022年3月，外媒网站曾报道过由安全研究员 mr.d0x创建的这种新网络钓鱼工具包，该工具包可以让攻击者为 Steam、Microsoft、Google 和任何其他服务创建虚假登录表单。该项目的初中主要是服务于攻防中的红底人员。

2022年12月，由 Group-IB发布的关于此类攻击的研究报告中说明了BITB攻击针对Steam用户的钓鱼过程，并出售这些账户的访问权限。这些目标账户通常价值不菲，大多在 100000 美元到 300000 美元之间。

攻击过程

钓鱼的第一步，是在Steam上向受害目标发送加入英雄联盟、CS、Dota 2 或 PUBG 锦标赛团队的邀请，受害者若点击邀请中的链接，就会被带往一个赞助和举办电子竞技比赛组织的网站。

该网站是一个钓鱼网站，受害者被要求使用Steam账号登录加入团队，但登录页面窗口并不是覆盖在现有网站上的实际浏览器窗口，而是在当前页面中创建的虚假窗口，受害者很难识别是网络钓鱼攻击。

令人惊讶的是，这个钓鱼登录页面支持27个国家的语言，能自动从受害者的浏览器偏好中检测语言设置，并加载相应的语言。一旦受害者输入Steam账户凭证，一个新产生的表单就会提示输入2FA代码，如果身份验证成功，用户将被重定向到 C2 指定的 URL，通常会是一个合法地址，让受害者不会意识到这是网络钓鱼。

此时，受害者的凭证已经被盗并已经发给攻击者。在类似的攻击中，攻击者为了尽快控制窃取的Steam 帐户，会立即更改密码和电子邮件地址，这样使得受害者很难重新索回账户。

怎么发现BITB攻击？

在BITB网络钓鱼案例中，网络钓鱼窗口中的URL都是合法的，它的本质是一个渲染窗口，而非浏览器窗口。这个窗口允许用户拖动、将其最大化最小化或者关闭。所以很难看得出这是一个在浏览器中生成的虚假浏览器窗口。

因为这个技术需要JavaScript，所以有效的预防措施是阻止JS脚本，但是这样做有时会影响很多网站的一些功能。为了预防此类网络攻击，要警惕在Steam等平台上收到的陌生消息，并且不要随意点击不明链接。