Hackers roubam contas de jogadores profissionais do Steam com ataque BitB

Objetivo dos ladrões digitais é assumir a conta de diversos usuários e vendê-las por valores entre US$ 100 mil e US$ 300 mil

Ricardo Syozi
• Atualizado há 2 anos
Grupo do ransomware LockBit promete extorsão tripla (imagem ilustrativa: Kevin Horvat/Unsplash)

Uma nova forma de ataque está ocorrendo com o intuito de roubar contas do Steam de usuários desprevenidos. Através de phishing via uma técnica chamada Browser-in-the-Browser (BitB), hackers estão enganando suas vítimas e, consequentemente, assumindo seus logins na plataforma da Valve. O objetivo é o de revender os acessos por grandes somas de dinheiro, seja para os antigos donos ou terceiros.

A técnica usada pelos ladrões digitais funciona desse jeito: eles criam uma página falsa de login de um serviço como o Steam ou Google, por exemplo.

Assim, uma janela pop-up surge, enganando o usuário para que ele coloque seus dados de acesso. Em seguida, essas informações são roubadas pelos hackers que rapidamente passam a assumir a conta do alvo.

Quem descreveu o kit de phishing pela primeira vez foi mr.d0x, um pesquisador de segurança digital. Sua divulgação ocorreu em março de 2022 pelo Bleeping Computer, no qual explicou que as janelas abertas para o ataque mostram apenas o formulário de login e seu URL. Sendo perfeitas para enganar o desavisado.

A técnica de Browser-in-the-Browser já pegou dados de diversos jogadores do Steam, que confirmaram que perderam tudo o que juntaram na plataforma. Essa estratégia funciona porque consegue mascarar a URL, dando a entender que ela é legítima.

Tentativa de phishing BitB na Steam (Imagem: Reprodução / Bleeping Computer)
Tentativa de phishing BitB na Steam (Imagem: Reprodução / Bleeping Computer)

Mais de 150 fontes imitando o Steam

Segundo o Group-IB, especialistas em segurança da web divulgaram que muitos já se tornaram vítimas desse tipo de phishing Browser-in-the-Browser. Há relatos de diferentes proporções.

Uma conta pequena do Steam, por exemplo, custa algumas dezenas de dólares para ser devolvida ou comercializada. Enquanto uma mais profissional ou com uma enorme quantidade de conteúdo pode valer entre US$ 100 mil a US$ 300 mil.

A partir daí, profissionais do CERT-GIB (Computer Emergency Response Team) relataram que apenas em julho de 2022, mais de 150 fontes fraudulentas que imitavam o Steam foram descobertas.

Há casos nos quais os criminosos enviaram mensagens para espectadores de um torneio de Counter-Strike: Global Offense oferecendo skins gratuitas para o jogo. Na ingenuidade, muitas pessoas acabaram clicando e passando suas informações de acesso.

Quase todos os botões dessa página levam para uma imitação da Steam (Imagem: Reprodução / Group-IB)
Quase todos os botões dessa página levam para uma imitação da Steam (Imagem: Reprodução / Group-IB)

Como evitar um ataque BitB

Normalmente, a URL que aparece para o usuário pode parecer legítima. Isso ocorre porque os criminosos conseguem adicionar o que quiserem, pois a janela não é realmente do navegador, mas a renderização de uma.

A melhor forma de evitar esse tipo de phishing, seria bloqueando JavaScripts, contudo, isso pode atrapalhar a navegação em sites comuns e verdadeiros.

Sendo assim, uma sugestão válida é a de antes de colocar o login e senha corretos de sua conta, adicione versões erradas deles. Se o site aceitar os dados incorretos, então ele tem como objetivo o roubo.

Todavia, sempre tome cuidado com links e mensagens diretas recebidas no Steam ou qualquer plataforma.

Com informações: Bleeping Computer.

Relacionados

Escrito por

Ricardo Syozi

Ricardo Syozi

Ex-autor

Ricardo Syozi é jornalista apaixonado por tecnologia e especializado em games atuais e retrôs. Já escreveu para veículos como Nintendo World, WarpZone, MSN Jogos, Editora Europa e VGDB. No Tecnoblog, autor entre 2021 e 2023. Possui ampla experiência na cobertura de eventos, entrevistas, análises e produção de conteúdos no geral.