¡Crisis de ciberseguridad en todos lados! Piratas informáticos roban credenciales de Steam gracias a la técnica "browser-in-the-browser"

La empresa de ciberseguridad Group-IB, informó que los piratas informáticos están atacando con fuerza las cuentas de la plataforma Steam, en especial las que tienen saldos altos. Para consumar la estafa, utilizan sitios web falsos con los que roban las credenciales de los usuarios.

La técnica utilizada se le conoce como browser-in-browser (BitB), una forma de phishing que se dio a conocer a mediados de marzo del 2022 en un artículo del blog BleepingComputer. Allí, el investigador mr.d0x explicó cómo actúan los delincuentes para causar daño y el alcance que pueden tener sus amenazas.

Piratas informáticos roban credenciales de usuarios de Steam

Los datos que se publicaron esta semana del ataque indican que los delincuentes utilizan una ventana emergente falsa en el navegador para causar el daño. Esa nueva pestaña que se abre contiene el software malicioso, pues al introducir la información que se solicita se les entrega el acceso, que después de capturado se vende en foros piratas de internet o en canales de Telegram.

Hackers stealing Steam accounts in Browser-in-the-Browser attacks - @billtoulashttps://t.co/gXNk8EsfX2

— BleepingComputer (@BleepinComputer) September 12, 2022

El objetivo principal son las cuentas de jugadores profesionales, las cuales pueden estar valoradas entre 100.000 y 300.000 €. Al principio, las potenciales víctimas reciben una invitación en su cuenta de Steam para unirse a un torneo de CS, LoL, PUBG o Dota 2. Una vez que abren el enlace, este se dirige directamente a un sitio de phishing, que en apariencia es la organización que patrocina y organiza el campeonato.

Acá es donde viene el robo de la información. Si el jugador quiere inscribirse, lo invitan a iniciar sesión de nuevo en su cuenta de Steam. Sin embargo, la ventana que se abre no es original ni verdadera. Es una pestaña falsa creada en la página actual, pero eso es muy difícil de percibir en una primera instancia.

Es sobresaliente que el portal pirata soporta 27 idiomas, lo que le da un alcance global y puede engañar con facilidad. La nueva pestaña solicita ingresar las credenciales y el código de autenticación de dos factores. Si la operación es exitosa, se redirige a una dirección legítima para no despertar sospechas. Cuando esto ocurre, todos los datos han sido robados.

En unos pocos minutos, los atacantes entran con las credenciales al perfil pirateado, cambian la contraseña y la dirección de correo electrónico, lo que dificulta a las víctimas recuperar sus datos o realizar cualquier tipo de reclamos. Ya la cuenta pasó a otras manos y los que estaba guardado en ellas se venderá en el mercado negro.

¿Qué es la técnica "browser-in-the-browser" que han utilizado para robar las credenciales de Steam?

Con esta técnica lo que busca el atacante es aprovechar las funciones de inicio de sesión SSO de cualquier sitio web. Estas son las que permiten ingresar a la cuenta con las credenciales de Google, Facebook u otra red social. Lo que ocurre es que cada vez que se utiliza este método, se carga una ventana emergente que es especial para realizar el robo de datos personales.

Igual que en el caso que se analiza en este post, el atacante crea un sitio que al parecer es legal. Emplean plantillas falsas que abren ventanas emergentes que a la vista son reales y de esa forma el phishing se consuma. Las adaptaciones disponibles son para Google Chrome en modo claro y oscuro en los dos principales sistemas operativos, como lo son Windows y Mac.

La operación es muy precisa. Una vez que se tiene la plantilla, el ladrón lo que hace es editar los datos, de forma especial la URL que es el segmento que en muchos casos levanta mayores sospechas. El formato lo terminan de adaptar con el uso de HTML y CSS, con lo que se deja una impresión original. Un aspecto interesante, es que aunque se descubrió este año, es posible que se utilice desde el 2020.

Otra de las agresiones que fue detectada por el Grupo de Análisis de Amenazas de Google fue con un actor denominado Ghostwriter. Los orígenes de la organización son en Bielorrusia y emplean ataques phishing con el uso de un sitio web comprometido. Toda vez que el usuario ingresa las credenciales, se envían a un servidor remoto en el que se decide la suerte que correrán desde ese momento en adelante.

El uso del sentido común es lo mejor en todos estos casos. Sin embargo, el empleo de SSO está masificado y en la mayoría de las ocasiones funciona bien, ahorra tiempo y facilita las tareas. Aun así, hay algunas medidas que se pueden tomar para no caer en estas trampas. Lo primero, es evitar abrir enlaces que vengan de fuentes sospechosas o desconocidas. Casi todas las veces tienen ofertas muy buenas, pero dentro esconden el fraude que causa mucho daño.

La segunda medida es utilizar un generador de contraseñas. Al no ser una ventana real, la herramienta autocompletar no funcionará, lo que debería encender las alarmas del usuario. Y en tercer lugar, hay que implementar programas antiphishing. En la mayoría de los casos, estos permiten informar a una organización o departamento que se tiene un problema relacionado con las estafas en línea.

Con todo esto, muchos se preguntan ¿Cómo puedo detectar que se trata de un ataque de phishing mediante el navegador? Los expertos de Group-IB comparten algunos trucos que funcionan en casos como estos. Para comenzar, comprueba si se abrió una ventana emergente en la barra de tareas de tu ordenador. Si no existe, la pestaña es falsa.

Un segundo truco es intentar cambiar el tamaño de la pestaña. Si no logras minimizar, es casi seguro que se trata de un ataque. Y lo que ocurrirá, es que si la minimizas esta se cerrará, lo que le dará certeza a tus sospechas. Finalmente, intenta moverla más allá de los bordes del navegador web, si pasa por debajo quiere decir que estás en peligro y que lo mejor es abandonar el procedimiento.