Ataque a Steam usando dominios similares

0

Hemos sabido que se está llevando a cabo una intensa campaña de Phishing, contra la popular plataforma de juegos Steam. Los ataques se centran en copiar de forma  perfecta el diseño de la comunidad Steam, introduciendo ligeros cambios en las URLs, que podrían pasar desapercibidos.

Los defraudadores, responsables del ataque, intentan después atravesar el mecanismo de seguridad en dos pasos de Steam, mediante un archivo malicioso llamado SteamGuard.exe.

Cuidado con las URLs que procedan de usuarios desconocidos de steam

Ojo con las ventanas de chat

Las víctimas están siendo engañadas desde el propio cliente de chat de Steam, según informan desde Netcraft. Esto les brinda una oportunidad sencilla de realizar spear phishing (“spear” porque es dirigido a un sector concreto) hacia cuentas que consideran “de interés”.

¿Qué es una cuenta interesante para estos atacantes? Aquella en la que aprecian que hay bastantes elementos intercambiables o susceptibles de ser vendidos en SteamTrading: juegos no “abiertos”, cartas o cromos intercambiables u objetos recibidos como premios.

Prestad atención a la forma de engañar utilizada por los ciberdelincuentes

¿Qué ocurre si hago click sobre un enlace?

Si un usuario cae en la trampa y abre un enlace suministrado en una ventana de chat no solicitada, será conducido a un perfil falso de Steam. En la imagen inferior podéis comprobar el aspecto típico de uno de estos perfiles. Están alojados en dominios que copian a la perfección el look and feel de la comunidad.

Los perfiles encontrados de esta forma, suelen mostrar elementos intercambiables raros o poco habituales. Esto, junto con la alta “puntuación” o experiencia de usuario que muestran, sugiere de forma ficticia que se trata de usuarios confiables para realizar transacciones.

El dominio de steam es falso, como se puede apreciar en la barra de direcciones

Para mejorar aún más la imagen de verosimilitud de su perfil, los defraudadores suelen apoyarse en feedback o interacciones realizadas con perfiles falsos creados por ellos. Esto es algo que ya hemos visto en otro tipo de ataques o scams en Facebook y redes sociales y funciona muy bien.

SI introducimos los datos aquí, tendremos un problema de seguridad

Consecuencias

Evidentemente, el atacante no quiere intercambiar lo más mínimo con nosotros. En su lugar, conseguirá tomar el control de la cuenta de steam para robar todo lo que le interese. Cuando la víctima decida pulsar el botón de “añadir amigo”, se le mostrará una ventana de “login”, en la que se realiza “Spoofing” para visualizar los datos introducidos.

No debemos descargar NUNCA un archivo para habilitar nuestra cuenta de steam

Steam Guard

Los datos robados previamente no tendrán mucho valor si la víctima tiene habilitado Steam Guard. Es una técnica de autenticación en dos factores, habilitada por defecto en todas las cuentas. Para que se habilite, solo tenemos que verificar nuestra dirección de correo y haber iniciado sesión un par de veces después. Por tanto, si está habilitado, el atacante necesitará introducir un código de varios dígitos que se envía cuando el sistema detecta conexión desde una IP distinta (y llega un email a la víctima).

Realizando un bypass de Steam Guard

Los antiguos sitios dedicados al phishing sobre steam, simplemente solicitaban al usuario dicho código. Si embargo, ha dejado de ser viable, ya que ahora existe una demora de tiempo para poder comerciar desde una cuenta que ha sido accedida desde nueva localización, lo que otorga al usuario la opción de recuperar su cuenta antes de que ninguno de sus bienes lleguen a ser vendidos.

Pero, como a acción sigue una reacción, los atacantes ahora solicitan al usuario que remita a la red un archivo ssfn. Se encuentra en la carpeta de Steam y actúa como llave de autenticación. Gracias a ello, el usuario solo tiene que introducir una vez el código entregado vía email, quedando ahi almacenado. Ya habréis comprendido lo que ocurre: si este archivo llega a manos del atacante, saltará por encima de la autenticación en dos pasos.

Peor aún, para levantar menos sospechas, los últimos ataques ya no solicitan abiertamente el archivo ssfn, sino que en su lugar ofrecen la instalación de una “herramienta especial” al usuario.

Algunos de estos dominios pasan desapercibidos con facilidad

Es una simple fórmula para conseguir la clave sin levantar sospechas. En este caso, las claves van a parar a Google Drive.

Importante flujo de dominios-copia de Steam

Desde comienzos de Mayo, se tiene constancia de la aparición de más de 100 dominios dedicados expresamente a intentos de phishing sobre Steam. Más de un tercio de estos dominios se encuentran en Rusia. Muchos de ellos han sido registrados utilizando cuentas de Yandex, un buscador patrio, muy popular allí.

La mayoría de dominios utilizados en estos ataques, son registrados con unprimer nivel .com. Un ejemplo peculiar es el de steamcommunity.cm, que utiliza el código de país de Camerún. Aparte de los enlaces contenidos en los chats de Steam, URLs como esta se prestan a que usuarios entren allí, cometiendo errores típicos al escribir direcciones, como omitir una letra.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR