Así roban los ciberdelincuentes tu cuenta de Steam ¡Cuidado!

El robo de cuentas de Steam, como el de otros servicios de juegos masivos, está a la orden del día y desde Group-IB han detallado la última campaña maliciosa que utiliza una técnica de phishing conocida como Browser-in-the-Browser que está ganando popularidad entre los piratas informáticos.

Esta técnica es un método de ataque que involucra la creación de ventanas de navegador falsas dentro de una ventana activa, haciéndola pasar como una página emergente legítima de inicio de sesión para un servicio de Internet determinado. El objetivo es robar las credenciales de los usuarios.

Aunque nadie está a salvo porque la misma técnica se puede usar contra cualquier usuario y servicio, la campaña de Steam que nos ocupa busca preferentemente jugadores profesionales cuyas cuentas pueden llegar a valer la friolera de 100.000 dólares. Las víctimas potenciales reciben mensajes directos en Steam, invitándolos a unirse a un equipo para torneos de LoL, CS, Dota 2 o PUBG.

Los enlaces llevarán a los objetivos a lo que parece ser una organización que patrocina y organiza competiciones de deportes electrónicos. Realmente es un sitio controlado por los asaltantes y muy bien hecho según la investigación. Las páginas de destino admiten 27 idiomas, detectando el mismo de las preferencias del navegador de la víctima y cargando el correcto.

Una vez que la víctima ingresa sus credenciales, un nuevo formulario le pide que ingrese el código 2FA. Si la autenticación es exitosa, el usuario es redirigido a una URL especificada controlado por el servidor de comando y control de los piratas, generalmente una dirección legítima para minimizar las posibilidades de que la víctima se dé cuenta del engaño. 

En este punto, las credenciales de la víctima ya han sido robadas y cambiadas contraseñas y direcciones de correo electrónico para dificultar que las víctimas recuperen el control de sus cuentas.

Robo de cuentas de Steam ¡Cuidado!

Los ataques Browser-in-the-Browser son complicados de detectar porque la URL adicional creada parece legítima ya que los atacantes son libres de mostrar lo que quieran, al no ser una ventana del navegador sino simplemente una representación. Lo mismo se aplica al símbolo de candado del certificado SSL que indica una conexión HTTPS, creando una falsa sensación de seguridad para las víctimas. Pero como otras campañas maliciosas todo parte de lo mismo, phishing.

Peor aún, los usuarios pueden arrastrar la ventana falsa, minimizarla, maximizarla y cerrarla, lo que hace que sea muy difícil detectarla como un ataque. Como la técnica requiere JavaScript, el bloqueo agresivo de los scripts JS evitaría que se mostrara el inicio de sesión falso. Sin embargo, la mayoría de usuarios no bloquean estos scripts ya que no cargarían o impedirían el buen funcionamiento de páginas web populares.

La solución para estar a salvo del robo de cuentas sería anterior a todo lo descrito e implica cuidarse al máximo del phishing porque es el gran ataque informático de nuestros días junto al Ransomware. Los consejos generales te los tienes que saber de memoria, pero en particular para servicios de juegos, extrema el cuidado con los mensajes directos recibidos en Steam, Discord y otras plataformas y nunca sigas enlaces enviados por usuarios que no conoces.