据Bleeping Computer 9月12日消息，黑客网络黑客正利用新型浏览器网络钓鱼技术——Browser In The 利用录窗Bopwser(BITB)，在游戏平台Steam窃取用户账户 。伪造

BITB是出登一种正逐步流行的攻击手法
，主要是口窃在活动窗口中创建伪造的登录页面 ，通常为用户所要登录服务的帐户弹出页 。

今年3月，黑客Bleeping Computer 曾报道过由安全研究员 mr.d0x创建的利用录窗这种新网络钓鱼工具包 
，该工具包可以让攻击者为 Steam、伪造Microsoft、出登Google 和任何其他服务创建虚假登录表单。免费模板口窃该项目的帐户初中主要是服务于攻防中的红底人员
。

9月12日 ，黑客由 Group-IB发布的利用录窗关于此类攻击的研究报告中说明了BITB攻击针对Steam用户的钓鱼过程，并出售这些账户的伪造访问权限
 。这些目标账户通常价值不菲，大多在 100000 美元到 300000 美元之间。

钓鱼的第一步，是源码库在Steam上向受害目标发送加入英雄联盟、CS
、Dota 2 或 PUBG 锦标赛团队的邀请 ，受害者若点击邀请中的链接 ，就会被带往一个赞助和举办电子竞技比赛组织的网站 ，该网站实质上是一个钓鱼站点，受害者会被要求使用Steam账号登录加入团队，但登录页面窗口并不是覆盖在现有网站上的实际浏览器窗口 ，而是在当前页面中创建的源码下载虚假窗口，因此很难将其识别为网络钓鱼攻击。

显示为游戏锦标赛平台的钓鱼页面

钓鱼登录页面甚至支持27个国家的语言，能自动从受害者的浏览器偏好中检测语言设置并加载相应的语言。一旦受害者输入他们的Steam账户凭证，一个新产生的表单会提示输入 2FA 代码 ，如果身份验证成功，用户将被重定向到 C2 指定的 URL
 ，通常会是服务器租用一个合法地址，以最大限度地减少受害者意识到这是网络钓鱼的可能性。

此时 ，受害者的凭证已被盗并已发送给攻击者 。在类似的攻击中，攻击者为尽快控制窃取的 Steam 帐户，会立即更改密码和电子邮件地址，使受害者很难重新索回账户。

在所有BITB网络钓鱼案例中，网络钓鱼窗口中的 URL 都是高防服务器合法的 ，其本质是一个渲染窗口，而非浏览器窗口 。该窗口甚至允许用户拖动、将其最小化、最大化或者关闭 ，因此很难将其识别为这是一个在浏览器中生成的虚假浏览器窗口 。

由于该技术需要 JavaScript，因此阻止 JS 脚本是有效的预防措施之一，但这一操作有时会妨碍许多正常网站的模板下载一些功能 。最主要的是应当警惕在Steam等平台上收到的陌生消息 ，避免点击未知的链接。

参考来源：​​Hackers steal Steam accounts in new Browser-in-the-Browser attacks​​