Tarayıcı (BITB) olarak bilinen gelişmiş bir teknik kullanarak, oyun topluluğunu, özellikle de karşı vuruş 2 oyuncularını hedefleyen sofistike yeni bir kimlik avı kampanyası ortaya çıktı.
Bu saldırı yöntemi, kullanıcıları buhar kimlik bilgilerini girmeye kandırarak siber suçluların değerli oyun hesaplarını ve sanal öğeleri çalmasına izin veren ikna edici bir sahte tarayıcı açılır penceresi oluşturur.
Kampanya öncelikle profesyonel espor ekibi Navi (Natus vincere) hayranlarını hedefliyor ve kurbanları ücretsiz oyun içi eşyalar, deriler ve davalar vaatleriyle cezbediyor.
.webp)
Saldırganlar, “Caseneos gibi varyasyonlar da dahil olmak üzere popüler ekibe bağlantıları öneren isimlerle birden fazla kimlik avı alanı kurdular[.]CFD ”ve“ Caserevs[.]com ”.
Bu siteler sosyal medya ve YouTube videoları aracılığıyla tanıtılmaktadır.
Silent Push araştırmacıları, bu saldırıyı Mart 2025’te kaydetti ve kimlik avı operasyonunun Çin tehdit aktörlerinden kaynaklandığını ve bazı sitelerin Mandarin’de İngilizce unsurlarla birlikte içerik gösterdiğini belirtti.
Araştırmacılar, aynı şablonlar kullanarak yüzlerce benzer alan gözlemlediler ve büyük ölçekli, koordineli bir kampanya önerdiler.
Tarayıcı tarayıcısı tekniği özellikle aldatıcı bir kimlik avı biçimini temsil eder.
Web sitesi tasarımlarını taklit eden geleneksel kimlik avının aksine, Bitb kurbanın meşru tarayıcısında sahte bir tarayıcı penceresi oluşturur.
.webp)
Bu, adres çubuğu, güvenlik asma kilit simgesi ve pencere kontrolleri gibi sahte tarayıcı kullanıcı arayüzü öğelerini içerir.
Kullanıcılar Steam Oturum Açma düğmesi gibi görünenleri tıkladıklarında, bu Steam Oturum Açma sayfasının ikna edici bir kopyasını görüntüleyen bu sahte tarayıcı penceresiyle sunulur.
.webp)
BITB uygulamasının teknik analizi
Bu saldırının teknik karmaşıklığı görsel aldatmacasında yatmaktadır.
Sahte tarayıcı penceresi aslında tarayıcı krom öğelerini tam olarak taklit etmek için HTML ve CSS kullanılarak oluşturulur.
Saldırıyı yakından incelerken, kullanıcılar sahte adres çubuğundaki URL’nin yalnızca bir görüntünün veya stilli HTML öğelerinin bir parçası olduğu için seçilemeyeceğini veya değiştirilemeyeceğini fark ederler.
Ayrıca, yer imleri veya uzantılar gibi tarayıcıya özgü özelliklerle etkileşimler beklenen sonuçları üretemez.
Saldırganlar, alan rotasyonu da dahil olmak üzere birden fazla tespit kaçakçılığı tekniği uyguladılar ve yeni kimlik avı alanları neredeyse her gün kaydedildi.
Silent Push’un analizi özel bir IP adresi ortaya çıkardı (77.105.161[.]50) özdeş HTML yapısına sahip çok sayıda kimlik avı alanına ev sahipliği yapmak.
Bu tür saldırılara karşı korumak için oyuncular, adres çubuğunu düzenlemeye çalışarak, HTTPS asma kilit işlevselliğini kontrol etmeye ve kimlik bilgilerini doğrudan tarayıcı pencerelerine girmek yerine QR kodu kimlik doğrulaması için kullanmalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free