Jogadores de Counter-Strike 2 precisam estar atentos a uma nova campanha de phishing que visa roubar suas credenciais do Steam. Os cibercriminosos estão utilizando uma técnica sofisticada chamada “browser-in-the-browser” para criar janelas falsas que simulam a página de login do Steam, com o objetivo de capturar credenciais dos usuários.

• Botnet BADBOX 2.0 infecta 1 milhão de aparelhos Android; 37% estão no Brasil
• Hacker quebra criptografia do ransomware Akira usando GPUs GeForce RTX 4090

A campanha se aproveita da popularidade do jogo e da confiança que os fãs depositam na equipe de eSports Navi, usando sua marca e identidade para atrair as vítimas. Os cibercriminosos prometem itens gratuitos para o jogo, mas, para “recebê-los”, os jogadores precisam fazer login em suas contas do Steam — momento em que suas credenciais são capturadas.

A Silent Push descobriu que os sites maliciosos foram encontrados principalmente em inglês, com exceção de uma variante em mandarim hospedada no domínio simplegive.cn, indicando que a campanha tem ambições internacionais. Todos os sites utilizam o mesmo endereço IP (77.105.161.50) e padrões de código similares, sugerindo que são operados pelo mesmo grupo.

Os cibercriminosos também estão promovendo ativamente seus domínios falsos através do YouTube, com vídeos que conseguiram mais de 600 curtidas — provavelmente compradas para dar uma falsa sensação de legitimidade ao conteúdo malicioso.

Entenda o que é um ataque browser-in-the-browser

Um ataque browser-in-the-browser (BitB) é uma técnica de phishing relativamente nova, que consiste em criar uma simulação visual de uma janela de navegador dentro de uma página web legítima. Essa técnica é muito mais avançada que os métodos tradicionais de phishing, pois não se limita a copiar o visual de um site — ela replica toda a experiência de interação com uma janela pop-up do navegador, incluindo a barra de endereços mostrando um domínio legítimo.

A técnica foi popularizada em 2022 pelo pesquisador de segurança mrd0x, que desenvolveu um framework demonstrando como os atacantes poderiam criar janelas falsas quase indistinguíveis das reais. Diferentemente de páginas de phishing comuns, onde a URL na barra de endereços geralmente revela a natureza maliciosa do site, nos ataques BitB essa verificação não funciona porque a própria barra de endereços é falsa, criada através de HTML e CSS para parecer genuína.

O que torna esse tipo de ataque tão perigoso é a dificuldade em identificá-lo. Usuários são treinados para verificar a URL antes de inserir credenciais, mas, neste caso, a URL parece correta. O principal indicativo de que se trata de uma janela falsa é que ela não pode ser movida para fora dos limites da janela principal do navegador, nem redimensionada ou minimizada como uma janela legítima poderia ser.

Como se prevenir? A Silent Push recomenda que os usuários desconfiem sempre de ofertas que parecem boas demais para ser verdade, especialmente aquelas que prometem itens gratuitos ou vantagens exclusivas. Nunca compartilhe suas credenciais em sites que você acessou através de links em redes sociais, mensagens ou e-mails, mesmo que pareçam oficiais.

A ativação da autenticação de dois fatores (2FA) é fundamental para proteger suas contas. No caso do Steam, use o Steam Guard Mobile Authenticator, que exige uma confirmação via aplicativo móvel para qualquer tentativa de login, mesmo que os criminosos consigam suas credenciais.

Leia mais sobre como identificar ataques BitB e como se prevenir.