Noticias

Los piratas informáticos roban cuentas de Steam con este nuevo truco

Los investigadores de Group-IB, un proveedor líder de innovaciones y soluciones para combatir los ataques cibernéticos, han publicado un nuevo informe que muestra cómo los piratas informáticos están utilizando una nueva técnica de phishing llamada Browser-in-a-Browser, para centrarse en las cuentas de profesionales. Jugadores de vapor. valor entre $ 100.000 y $ 300.000.

Para los no iniciados, Browser-in-Browser (BitB) es una nueva amenaza de phishing que está surgiendo en todo el mundo. Este método crea una ventana de navegador falsa dentro de la ventana del navegador principal activo de un recurso de phishing, lo que hace que parezca una página emergente de inicio de sesión para robar las credenciales de inicio de sesión.

Este kit de phishing fue descubierto y compartido por primera vez por un investigador Sr. d0x en marzo de 2022. Con este método, los actores de amenazas crean formularios de inicio de sesión falsos para Steam, Microsoft, Google o cualquier otro servicio.

Para analizar la amenaza significativa que representa la tecnología Browser-in-Browser para usuarios importantes, Group-IB usó un ejemplo de un kit de phishing ubicado en un recurso que imitaba a Steam.

¿Cómo funciona el sistema?

Los actores de amenazas envían mensajes directos a las víctimas potenciales en Steam y las atraen con varias ofertas atractivas, por ejemplo: invitarlas a unirse a un equipo para un torneo de LoL, CS, Dota 2 o PUBG, o votar por su equipo favorito el usuario, o compre boletos con descuento para eventos de deportes cibernéticos y más.

Los enlaces compartidos por los actores de amenazas llevan a las víctimas a páginas web de cebo que se hacen pasar por organizaciones que patrocinan y organizan torneos de deportes electrónicos. Luego se les pide a las víctimas que inicien sesión con su cuenta de Steam para unirse a un equipo y jugar en un torneo.

“Casi cualquier botón en las páginas web de cebo abre un formulario de entrada de datos de cuenta que imita una ventana legítima de Steam. Tiene un token verde falso, un campo de URL falso que se puede copiar e incluso una ventana adicional de Steam Guard para la autenticación de dos factores”, dijeron los investigadores. escribe en su informe.

Mientras que los recursos de phishing tradicionales muestran o redirigen a los usuarios a un formulario de entrada de datos de phishing, este tipo de ataque abre una ventana del navegador en la misma pestaña para convencer a los usuarios de su autenticidad.

Los usuarios pueden incluso cambiar entre 27 idiomas de interfaz de página web completamente funcionales, y la selección es la misma que la utilizada en la página legítima. Dependiendo de las preferencias del navegador del usuario, el idioma inicial se selecciona y carga automáticamente en la página de destino.

Cuando la víctima ingresa sus credenciales, se envía inmediatamente a los actores de la amenaza y se envía automáticamente al recurso legítimo. Si los datos son incorrectos, las víctimas ven un mensaje de error.

Además, si la víctima ha habilitado la autenticación de dos factores (2FA), el recurso envía un código de solicitud. El código es creado por una aplicación separada, que envía una notificación automática al dispositivo del usuario.

Si la autenticación es exitosa, se envía al usuario a una URL especificada por el servidor C2 (comando y control), una dirección en su mayoría legítima, para que sea menos probable que la víctima se dé cuenta de que sus cuentas están comprometidas. En ese momento, los actores de la amenaza ya habrían obtenido las credenciales robadas de la víctima.

En los casos en que los actores de amenazas atacan las cuentas de Steam de las víctimas, cambian inmediatamente sus contraseñas y direcciones de correo electrónico, lo que dificulta que las víctimas recuperen el control de sus cuentas.

“A diferencia de los esquemas de phishing como servicio, donde los kits de phishing generalmente se desarrollan para la venta, los kits de phishing de Steam se mantienen confidenciales. Las campañas son realizadas por grupos de hackers que se reúnen en foros clandestinos o canales de Telegram y usan Telegram o Discord para coordinar sus acciones”, dice el informe.

Cómo identificar una ventana de navegador falsa ¿Ataque de navegador en navegador?

Group-IB recomienda verificar lo siguiente para identificar una ventana de navegador falsa en un ataque de navegador en navegador:

  • Compare el diseño del encabezado con la barra de direcciones emergente. En su navegador, una página falsa puede verse diferente a una página real. Preste atención a las fuentes y el diseño de los botones de control.
  • Compruebe si se ha abierto una nueva ventana en la barra de tareas. Si no, la ventana del navegador es falsa.
  • Prueba a cambiar de ventana. Si la ventana es falsa, no podrá cambiarla. En tales casos, tampoco podrá maximizarlo usando el botón correspondiente en el encabezado.
  • Intenta mover la ventana. Dado que una ventana emergente falsa tiene un tamaño limitado a la ventana del navegador, no podrá moverla sobre los elementos de control de la ventana inicial.
  • Minimiza la ventana. Si la ventana es falsa, el botón «minimizar» la cerrará.
  • Compruebe si el símbolo verde que significa el certificado es solo una imagen. Si la ventana es falsa, no pasará nada cuando haga clic en el candado. Los navegadores auténticos muestran información del certificado SSL.
  • La barra de direcciones falsa no funciona. En algunos casos, no permite que los usuarios ingresen una URL diferente, e incluso si lo hace, los usuarios no pueden abrirla en la misma ventana.
  • Las ventanas falsas no se mostrarán si deshabilita la ejecución de scripts JS en la configuración del navegador.

Group-IB ya ha advertido a Valve, el desarrollador de Steam, sobre la amenaza Browser-In-The-Browser. La compañía aún no se ha pronunciado sobre el descubrimiento realizado por Group-IB.

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!