近期，一种新的网络钓鱼活动将目标锁定为热门游戏《反恐精英 2》的玩家。攻击者利用名为浏览器中的浏览器（BitB）的攻击手段，在用户浏览器中展示与 Steam 登录页面极为相似的逼真窗口。

攻击者为增加钓鱼页面的可信度，选择冒充乌克兰知名电子竞技团队 Navi，以此吸引该团队的忠实粉丝。由于 Navi 在电竞圈具有较高知名度，玩家容易因对团队的信任而降低警惕。

此次活动所采用的 BitB 网络钓鱼技术，由网络安全研究员 mr. dox 于 2022 年 3 月创建。这一网络钓鱼框架使威胁行为者能够在另一个浏览器窗口内，创建具有自定义地址 URL 和标题的逼真弹出窗口。简单来说，该技术会在真实浏览器窗口（即 " 浏览器中的浏览器 "）内生成虚假浏览器窗口，用于制作登录页面或其他真实表单，目的是窃取用户的凭据或一次性多因素身份验证（MFA）密码（OTP）。早在 2022 年晚些时候，威胁行为者就已采用这种浏览器中的浏览器攻击方式，企图窃取 Steam 账户。

使用 BitB 框架的 Facebook 钓鱼页面 来源：mr.d0x  

针对 Steam 账户

在 Silent Push 研究人员监测到的一项活动中，威胁行为者借助 YouTube 视频及其他可能的推广渠道，将潜在受害者引流至钓鱼网站。值得注意的是，这些网站均使用相同的 IP 地址，表明该活动极有可能由单个攻击者或团体策划实施。这些网站打着提供带有新皮肤的免费 CS2 战利品箱的旗号，诱惑玩家。

YouTube 上的宣传信息 来源：Silent Push

涉及的承诺提供 CS2 游戏内物品的恶意网站包括：caserevs [ . ] com、

· caseneiv [ . ] com

· casenaps [ . ] com

· caseners [ . ] com

· simplegive [ . ] cn

· caseneus [ . ] cfd  

玩家若想领取所谓的礼物，就需通过看似 Steam 登录弹出窗口的界面登录自己的 Steam 账户。但实际上，打开的这个弹出窗口并非真实的 Steam 登录窗口。攻击者运用 BitB 技术，在活动窗口内呈现出一个模仿 Steam 官方 URL 和界面的虚假登录窗口，它看似弹出窗口，实则为精心伪装的陷阱。这些虚假窗口无法调整大小，也不能像普通弹出窗口那样被拖出活动窗口范围。不过，若用户没有尝试对其进行相关交互操作，很可能难以察觉其中的恶意行为。

钓鱼页面上的虚假 Steam 登录弹窗 来源：Silent Push

攻击者实施这些攻击，旨在窃取 Steam 账户，随后在专门的灰色市场上转售。根据账户所拥有的游戏收藏规模以及游戏内物品的珍稀程度，转售价格可达数万甚至数十万美元。

Steam 账户在 playerauctions [ . ] com 上出售 来源：Silent Push

尽管《反恐精英 2》已推出多年，但在电子竞技社区中依旧广受欢迎。也正因如此，威胁行为者频繁利用知名团队以及职业级比赛作为诱饵，试图骗取玩家的 Steam 账户。就在上个月，Bitdefender 曾报道过一场大规模活动，该活动利用虚假的 YouTube CS2 直播以及二维码，将用户引导至声称赠送游戏内物品和加密货币的恶意网站。用户一旦点击链接进入钓鱼网站，就会被要求输入 Steam 账户凭证或连接加密货币钱包，最终却发现自己的账户凭证被盗取，加密货币钱包被劫持或清空。

为有效提升 Steam 账户的安全性，建议用户激活多重身份验证功能，启用 "Steam Guard 移动身份验证器 "，并定期查看登录活动记录，以便及时发现可疑登录行为，切实保障自身账户安全。