Con la peligrosa técnica browser-in-the-browser están robado cuentas de Steam que valen más de 300.000 euros

Si eres un fan de los torneos online y los juegos multijugador, mucho cuidado con el correo electrónico de Steam que recibes. Algunos de ellos podrían robarte la cuenta con una nueva técnica de phishing llamada Browser-in-the-browser.

Según informa la web de seguridad Group-IB, están robandocuentasa jugadores de Steam con miles de juegos en su biblioteca, valorados en más de 300.000 euros. Los ciberdelincuentes envian un correo electrónico o un mensaje en nombre de Steam o de un conocido torneo online, invitando al usuario a participar.

En otros casos usan como gancho un skin gratis para LoL, CS, Dota 2, PUBG, y otros juegos famosos.  El caso es llevarte a la web "oficial" del torneo en cuestión. Este ataque phishing se aprovecha de que cada vez más inicios de sesión se llevan a caboen una ventana pop-up independiente, en lugar de dentro del navegador. Lo usan mucho Steam, PayPal, y otras.

Se llama ataque Browser-in-the-browser porque la ventana pop-up que se abre simula ser la ventana del navegador, pero en realidad es un malware que clona al navegador, sin serlo. Puedes verlo en la anterior captura.

Parece una ventana del navegador, pero en realidad es una aplicación malware independiente. Y al ser un programa puede mostrar lo que quiera, incluyendo una dirección certificada de Valve con el candado en verde, como se muestra en el recuadro en rojo.

El usuario cree que está en el inicio de sesión legal de Steam, porque el certificado se lo está diciendo, e introduce sus claves. Los ciberdelincuentes las roban y cambian rápidamente las claves, para quedarse con la cuenta.

Entonces comienzan a hacer donaciones de dinero o de juegos a sus propias cuentas, hasta que el sistema de pago deje de funcionar. Y se quedan con la cuenta y los juegos.

Como vemos, este malware es muy peligroso porque se salta las alarmas habituales del phishing, como son las dirección URL parecidas, pero distintas al original, y la falta de certificado SSL de seguridad.

Si tienes una cuenta de Steam con la que juegas a muchos juegos multijugador, cuidado con el correo eléctrico y los regalos de contenido, o las invitaciones a torneos.