Os pesquisadores da Group-IB, empresa líder em serviços, soluções e produtos de segurança cibernética, publicaram um relatório revelando como os hackers estão usando uma nova técnica de phishing para roubar contas Steam.
De acordo com o relatório, os cibercriminosos estão enviando ataques de phishing chamados Browser-in-the-Browser direcionados a usuários da Steam e tem como principal alvo contas de jogadores profissionais avaliadas entre US $ 100.000 e US $ 300.000.
Os hackers estão usando um método que se aproveita de uma falha nos navegadores, que permite implantar um navegador no navegador (BitB) criando uma janela falsa para enganar o usuário e roubar credenciais de login.
Esta nova ameaça de phishing foi descoberta pela primeira vez em março de 2022 pelo pesquisador Mr.d0x e está sendo usada por hackers em todo o mundo.
Os pesquisadores tiveram acesso a um dos ataques de pinshing por meio da tecnologia Browser-in-the-Browser e analisaram o risco de ameaça que ela representa aos usuários.
Como funciona o esquema?
Os analistas descobriram que os agentes de ameaça estão utilizando um recurso que imita o serviço Steam e enviam mensagens diretas para possíveis vítimas com ofertas atraentes como:
- Convite para participar de uma equipe para um torneio de LoL, CS, Dota 2 ou PUBG;
- Votar no time favorito do usuário;
- Comprar ingressos com desconto a eventos de eSports e muito mais.
As mensagens enviadas pelos hacker também incluem links que levam as vitimas para páginas web que imitam organizações que patrocinam e hospedam competições de eSports.
Nessas páginas maliciosas, as vítimas são solicitadas a entrar com sua conta Steam para se juntar a uma equipe e poder jogar em uma competição.
"Quase qualquer botão nas páginas de isca abre um formulário de entrada de dados da conta que imita uma janela legítima do Steam. Ele tem um sinal de cadeado verde falso, um campo de URL falso que pode ser copiado e até uma janela adicional do Steam Guard para autenticação de dois fatores", disseram os pesquisadores.
Enquanto os ataques de phishing tradicionais exibem um formulário de entrada de dados ou redirecionam as vítimas para ele, esse tipo de ataque abre uma janela falsa na mesma guia do navegador.
Esse novo método usado pelos hackers dificulta muito a identificação do ataque pelo usuário e os convence de que a guia aberta com phinshing é autentica.
Os hackers ainda incluem um recurso de tradução com 27 idiomas na página falsa totalmente funcional e com a seleção idêntica à usada na página legítima.
Dependendo das preferências do navegador, o idioma inicial é escolhido automaticamente e carregado na página de destino, que contém o código malicioso que rouba dados do usuário.
Depois que a vítima insere suas credenciais, elas são enviadas imediatamente aos hackers e inseridas automaticamente no recurso legítimo. Se os dados estiverem incorretos, as vítimas verão uma mensagem de erro.
- Leia também: Valve descarta Steam Deck 2 com AMD Ryzen Z2
Além disso, os agentes de ameaça deram um jeito de burlar a autenticação de dois fatores (2FA), que retorna uma solicitação de código para os usuários que estiverem este recurso habilitado.
O código é criado usando um aplicativo externo, que envia uma notificação para o dispositivo do usuário. Se a autenticação for bem-sucedida, o usuário é enviado para uma URL com endereço legítimo.
Isso diminui as chances da vítima perceber que sua conta foi comprometida, e a essa altura, os agentes de ameaça já teriam recebido os dados roubados.
Após conseguir os dados de acesso a conta Steam da vítima, os cibercriminosos alteram as senhas e endereços de e-mail, tornando mais difícil recuperar o controle da conta.
"Ao contrário dos esquemas de phishing como serviço, que geralmente envolvem o desenvolvimento de kits de phishing para venda, os kits de phishing do Steam são mantidos em segredo. As campanhas são realizadas por grupos de hackers que se reúnem em fóruns clandestinos ou canais do Telegram e usam o Telegram ou o Discord para coordenar suas ações", acrescentou o relatório.
Como identificar um ataque de phishing no navegador?
Os especialistas em segurança cibernética da Group-IB recomendam que os usuários verifiquem as seguintes informações para identificar uma janela falsa no navegador em um ataque Browser-in-the-Browser:
- Compare o design do cabeçalho e a barra de endereço da janela pop-up. No seu navegador, uma página falsa pode parecer diferente de uma página real. Preste atenção às fontes e ao design dos botões de controle.
- Verifique se uma nova janela foi aberta na barra de tarefas. Caso contrário, a janela do navegador é falsa.
- Tente redimensionar a janela. Se a janela for falsa, você não poderá redimensioná-la. Nesses casos, você também não poderá maximizá-lo.
- Tente mover a janela. Como uma janela pop-up falsa é limitada em tamanho à janela do navegador, você não poderá movê-la sobre os elementos de controle da janela inicial.
- Minimize a janela. Se a janela for falsa, o botão "minimizar" a fechará.
- Verifique se o símbolo de cadeado do certificado da página é apenas uma imagem. Se a janela for falsa, nada acontecerá quando você clicar no cadeado. Os navegadores autênticos exibem informações de certificado SSL.
- Uma barra de endereço falsa não é funcional. Em alguns casos, ele não permite que os usuários insiram uma URL diferente ou abri-la na mesma janela.
- Janelas falsas não serão exibidas se você desabilitar a execução de scripts JS nas configurações do navegador.
Os pesquisadores da Group-IB já alertaram a Valve, sobre a ameaça Browser-In-The-Browser para roubar contas Steam. A empresa ainda não comentou sobre a vulnerabilidade.
Via: Mrd0x
