La firma de ciberseguridad Group-IB ha descubierto una campaña que utiliza una técnica de phishing llamada navegador en el navegador (BITB, por sus siglas en inglés) para captar la atención de los jugadores en Steam con cebos como torneos y robar sus credenciales.
El investigador de infoseguridad mr.d0x describe en su página web el ataque BITB como una amenaza que permite al cibercriminal clonar tanto la página inicial de una web como la ventana emergente que aparece dentro de la misma para pedir sus credenciales al usuario y enviarlas al servidor del ciberdelincuente.
Este tipo de amenazas ha prosperado gracias a que plataformas como Steam utilizan la ventana emergente como mecanismo para que sus usuarios inicien sesión. De esta forma, tienen un modelo que imitar para ofrecer una réplica que no levante sospechas.
CÓMO OPERA ESTA NUEVA AMENAZA EN STEAM
Esta particularidad ha convertido a Steam en el último objetivo de esta técnica de phishing, tal y como ha explicado Group-IB en un reciente informe. Para atraer a sus víctimas, los ciberdelincuentes les envían un mensaje con un enlace que les redirige a una web clonada que imita el diseño de las páginas de la plataforma.
En esta web, se incluyen ofertas que invitan a los jugadores a participar en una actividad que varía según el título. En el caso de League of Legends, se ofrece unirse a un equipo. En el de PUBG, participar en un torneo. La web también ofrece la posibilidad de comprar entradas rebajadas para eventos de E-Sports o votar al equipo favorito del usuario en un determinado juego o competición, entre otras opciones.
Según el informe, prácticamente cualquier botón de estas páginas abre una ventana emergente de inicio de sesión que imita también a la de Steam. La réplica es tan real que incluye aparentemente Steam Guard, el nivel adicional de seguridad de la plataforma que opera con la autenticación en dos pasos del usuario. Esta ventana emergente también cuenta supuestamente con un certificado de seguridad SSL y una URL a priori legítima. De hecho, el usuario puede mover y redimensionar la ventana, como si fuese original y no una imitación.
Una vez introducidas, las credenciales son enviadas al servidor del cibercriminal, en lugar de al de Steam. Esta técnica permite acceder a la cuenta de una víctima, además de a su información de pago y bienes virtuales, como juegos, e incluso a su lista de amigos para proporcionar un nuevo objetivo al atacante.
El estudio ha recordado que Steam cuenta con más de 120 millones de usuarios en todo el mundo y ofrece acceso a más de 50.000 juegos. Asimismo, la cuenta de un jugador profesional de la plataforma puede tener un valor de entre 100.000 y 300.000 dólares estadounidenses.
