В начале 2025 года специалисты компании Silent Push выявили новую фишинговую кампанию , ориентированную на игроков Counter-Strike 2. В ход идут нестандартные методы социальной инженерии, а именно атаки “браузер в браузере” (BitB), которые создают визуально достоверные всплывающие окна входа в аккаунт. Пользователи ошибочно принимают их за официальные элементы сайтов, что позволяет злоумышленникам получить доступ к учётным данным Steam.
Целью мошенников стали аккаунты популярной игровой платформы Steam, которая принадлежит компании Valve. Особое внимание они уделили фанатам киберспортивной команды Navi, используя её узнаваемый бренд в качестве приманки. На поддельных сайтах предлагались “бесплатные кейсы” – распространённый способ привлечения геймеров с помощью внутриигровых предметов. Визуальное оформление ресурсов создавалось таким образом, чтобы у жертвы не возникало подозрений – якобы это обычное всплывающее окно авторизации.
Инфраструктура кампании охватывает десятки доменов, включая “caserevs[.]com”, “caseneiv[.]com” и другие. Один из сайтов – “simplegive[.]cn” – был оформлен на китайском языке с вкраплениями английского. Это говорит о попытке выйти за пределы англоязычной аудитории, расширяя охват кампании. Все ресурсы были размещены на одном выделенном IP-адресе, что упростило их технический анализ и отслеживание.
Злоумышленники активно продвигали свои фишинговые страницы в YouTube. В январе 2025 года один из таких роликов собрал более 600 лайков, вероятно, с помощью накрутки. Использование платформ с высоким доверием, таких как YouTube, повышает уровень убедительности схемы и увеличивает охват потенциальных жертв.
Атаки BitB известны в сообществе специалистов по безопасности уже не первый год. Однако случаи их реального применения всё ещё редки. Впервые о BitB заговорили благодаря исследователю под псевдонимом mrd0x, опубликовавшему рабочий пример и техническое описание. В июне 2024 года была зафиксирована подобная кампания с использованием домена “pages[.]dev” – бесплатного хостинга от Cloudflare.
Steam-аккаунты представляют ценность не только из-за вложенных средств, но и из-за набора редких игр или внутриигровых предметов. Их стоимость на нелегальных торговых площадках, таких как “playerauctions[.]com”, может достигать десятков тысяч долларов. Именно поэтому они становятся объектом интереса киберпреступников, которые впоследствии перепродают украденные учётные записи.
Атаки BitB особенно эффективны на настольных ПК: визуально они неотличимы от настоящих окон. Тем не менее, в поддельных окнах невозможно выполнять действия, характерные для настоящих браузеров, например, перетаскивание за границы окна. Это один из признаков, позволяющих отличить фишинг от настоящего запроса входа в систему.
Silent Push призывает пользователей быть особенно внимательными и проверять подлинность всплывающих окон. Если окно выглядит подозрительно, следует попробовать переместить его за пределы браузера. Невозможность такого действия может говорить о фальшивом интерфейсе. При подозрении на компрометацию аккаунта рекомендуется немедленно сменить пароль и проверить другие связанные данные.
Наблюдая за развитием этой схемы, специалисты считают, что в течение 2025 года атаки BitB будут набирать обороты. В будущем они могут быть адаптированы под другие бренды и игровые платформы. Silent Push продолжит делиться своими исследованиями с сообществом и правоохранительными органами.