Ataque de phishing 'navegador en el navegador'
Los estafadores están utilizando una nueva técnica de phishing conocida como Browser-in-the-Browser para obtener credenciales de cuenta confidenciales de sus víctimas. Hasta ahora, los atacantes parecen estar dirigidos principalmente a usuarios de Steam y jugadores profesionales. Es probable que se ofrezcan a la venta las cuentas comprometidas, ya que se ha estimado que algunas cuentas importantes de Steam tienen un valor de entre $100,000 y $300,000.
Steam es la plataforma de distribución digital más grande para juegos de PC y su desarrollador Valve Corporation también posee algunos de los títulos de deportes electrónicos más grandes del mundo, como CS: GO y DOTA 2. Los ataques de phishing del navegador en el navegador comienzan con mensajes de cebo. enviado directamente a los usuarios a través de Steam. Los estafadores invitan a sus víctimas a unirse a un equipo para un popular juego competitivo (LoL, CS, DOTA 2, PUBG) y participar en un supuesto torneo. El enlace que se encuentra en el mensaje del señuelo llevará a las víctimas desprevenidas a un sitio falso, diseñado para que parezca que pertenece a una organización que organiza competiciones de deportes electrónicos. Cuando los usuarios intenten unirse a un equipo, se les pedirá que inicien sesión a través de su cuenta de Steam.
Aquí es donde entra en juego la técnica del navegador en el navegador. En lugar de la ventana de inicio de sesión legítima que normalmente se superpone al sitio web existente, a las víctimas se les presentará una ventana falsa creada dentro de la página actual. Detectar que algo anda mal es extremadamente difícil, ya que la ventana falsa es visualmente idéntica a la real y su URL coincide con la dirección legítima. Las páginas de destino pueden incluso elegir entre 27 idiomas diferentes para que coincida con el idioma predeterminado que utilizan sus víctimas.
Una vez que se ingresan las credenciales de la cuenta, se mostrará un nuevo mensaje que solicita un código 2FA (autenticación de dos factores). Si no proporciona el código correcto, aparecerá un mensaje de error. Si los usuarios pasan la autenticación, serán redirigidos a una nueva dirección determinada por el servidor de comando y control (C2) de la operación. Por lo general, esta dirección pertenece a un sitio web legítimo como una forma de enmascarar las acciones de los estafadores. Sin embargo, en este punto, las credenciales de la víctima ya han sido comprometidas y transmitidas a los actores de la amenaza.
Los detalles sobre la técnica de phishing del navegador en el navegador y la operación de ataque en su conjunto fueron revelados al público en un informe de investigadores de seguridad. Según sus hallazgos, el kit de phishing utilizado en la campaña de Steam no está disponible para la venta en foros de piratería. En cambio, se mantiene dentro de un círculo estrecho de ciberdelincuentes que coordinan sus actividades en los canales de Discord o Telegram.
