Investigadores de Silent Push han descubierto una elaborada campaña de phishing que está atacando específicamente a jugadores de Counter-Strike 2. Los ciberdelincuentes están empleando una avanzada técnica conocida como browser-in-the-browser (BiTB) para crear ventanas de inicio de sesión de Steam prácticamente indistinguibles de las legítimas.
Sofisticada técnica de suplantación mediante BiTB
La técnica browser-in-the-browser, documentada inicialmente en 2022, permite a los atacantes simular con precisión las ventanas emergentes de autenticación de servicios populares. Los criminales aprovechan la familiaridad de los usuarios con el sistema single-sign-on (SSO) de Steam para hacer que sus ataques sean más convincentes y efectivos.
Metodología y vectores de ataque
Los atacantes se hacen pasar por la reconocida organización de esports Navi, utilizando su reputación para ganar la confianza de las víctimas. La campaña se distribuye principalmente a través de canales de YouTube y otras plataformas sociales, prometiendo skins gratuitos y objetos virtuales exclusivos para Counter-Strike 2.
Características técnicas del engaño
Las ventanas falsas de autenticación presentan limitaciones técnicas específicas, como la imposibilidad de redimensionar o mover la ventana fuera del navegador principal. Sin embargo, estos indicadores suelen pasar desapercibidos para la mayoría de los usuarios, lo que aumenta la efectividad del ataque.
Impacto económico y alcance de la amenaza
El análisis de la infraestructura maliciosa revela una operación centralizada que utiliza un único servidor para hospedar múltiples sitios de phishing. Las cuentas comprometidas se comercializan posteriormente en mercados ilícitos, alcanzando precios que oscilan entre decenas y cientos de miles de dólares, dependiendo del valor de los activos virtuales asociados.
Para proteger las cuentas de Steam contra estas amenazas, es fundamental implementar la autenticación de dos factores y activar Steam Guard Mobile Authenticator. Los usuarios deben mantener una actitud escéptica ante ofertas de objetos gratuitos y verificar siempre la autenticidad de los sitios de inicio de sesión. La combinación de precaución y medidas de seguridad robustas constituye la mejor defensa contra estas sofisticadas técnicas de phishing que continúan evolucionando en el ecosistema del gaming.
