Une nouvelle campagne de phishing cible les joueurs de Counter-Strike 2 en utilisant des attaques par navigateur dans le navigateur (BitB) qui affichent une fenêtre réaliste imitant la page de connexion de Steam.
Les attaquants se font passer pour l’équipe ukrainienne d’esports Navi pour appâter les fans dévoués et ajouter de la légitimité à la page de phishing en utilisant une marque reconnaissable.
La campagne utilise la technique de phishing BITB (Browser-in-the-Browser) créée par le chercheur en cybersécurité m. fox en mars 2022. Ce cadre d’hameçonnage permet aux auteurs de menaces de créer des fenêtres contextuelles réalistes avec des URL d’adresse et des titres personnalisés dans une autre fenêtre de navigateur.
Fondamentalement, cette technique de phishing crée de fausses fenêtres de navigateur dans de vraies fenêtres de navigateur (Navigateur dans le navigateur) pour créer des pages de connexion ou d’autres formulaires réalistes pour voler les informations d’identification des utilisateurs ou des codes d’accès MFA uniques (OTP).
Les auteurs de menaces ont adopté des attaques par navigateur dans le navigateur plus tard cette année-là lors d’attaques à grande échelle visant à voler des comptes Steam.
Cibler les comptes Steam
Dans une campagne observée par les chercheurs de Silent Push, les acteurs de la menace utilisent des vidéos YouTube et potentiellement d’autres canaux de promotion pour amener les victimes potentielles vers des sites de phishing. Ces sites utilisent tous la même adresse IP, ce qui indique qu’un seul attaquant ou groupe exécute la campagne.
Ces sites promettent un cas de butin CS2 gratuit avec de nouveaux skins.
Les sites Web malveillants promettant les éléments du jeu CS2 sont:
- caserevs[.]com
- caseneiv[.]com
- casenaps[.]com
- caseners[.]com
- caseneiv[.]com
- simplegive[.]cn
- caseneus[.]cfd
Pour réclamer le cadeau, les utilisateurs sont invités à se connecter à leur compte Steam en utilisant ce qui semble être une fenêtre contextuelle de connexion Steam. Cependant, la fenêtre contextuelle qui s’ouvre n’est pas réellement réelle.
Au lieu de cela, les attaquants utilisent la technique BitB pour afficher une fausse fenêtre de connexion imitant l’URL et l’interface officielles de Steam dans la fenêtre active, la faisant apparaître comme une fenêtre contextuelle, même si ce n’est pas le cas.
Ces fausses fenêtres ne sont pas redimensionnables et ne peuvent pas être glissées en dehors de la fenêtre active( comme une fenêtre contextuelle normale), mais les utilisateurs qui n’essaient pas d’interagir avec elles de cette manière peuvent ne pas soupçonner un acte criminel.
Ces attaques visent à voler des comptes Steam et à les revendre sur des marchés gris spécialisés pour des dizaines, parfois des centaines de milliers, en fonction de la taille de la collection de jeux et des objets en jeu détenus par le compte.
Malgré son âge, Counter-Strike 2 reste un jeu très populaire, en particulier dans la communauté des sports électroniques, et les acteurs de la menace ont profité des équipes renommées et de la concurrence de niveau professionnel pour hameçonner les comptes Steam.
Le mois dernier, Bitdefender a signalé une campagne à grande échelle qui utilisait de faux livestreams YouTube CS2 avec des codes QR amenant les gens vers des sites Web malveillants promettant des objets en jeu et des cadeaux de crypto-monnaie.
Les utilisateurs qui ont suivi les liens vers des sites de phishing ont été invités à entrer leurs informations d’identification de compte Steam ou à connecter leurs portefeuilles de crypto-monnaie, seulement pour les voir détournés/vidés.
Pour renforcer la sécurité des comptes Steam, activez l’authentification multifacteur, activez « Steam Guard Mobile Authenticator » et examinez régulièrement l’activité de connexion pour détecter les connexions suspectes.