Una sofisticata campagna di phishing sta prendendo di mira i giocatori di Counter-Strike 2, sfruttando una tecnica chiamata Browser-in-the-Browser (BitB) e che consente agli attaccanti di creare finestre popup false ma estremamente realistiche all'interno del browser, progettate per assomigliare alle autentiche pagine di login di Steam. L'obiettivo, com'è facile intuire, è quello di rubare credenziali e codici MFA (autenticazione a più fattori) delle vittime.

La campagna è stata individuata e analizzata dai ricercatori di sicurezza di Silent Push, che sottolineano come gli attaccanti stiano fruttando l'identità del celebre team e-sport ucraino Navi per conferire legittimità ai loro siti di phishing. I siti promettono ricompense allettanti, come casse gratuite con nuove skin per CS2, attirando così i giocatori più appassionati. Gli utenti vengono invitati a inserire le proprie credenziali Steam in una finestra popup che appare autentica ma che, in realtà, è una replica creata con la tecnica BitB.



Una finestra fasulla con barra degli indirizzi cliccabile - Fonte: Silent Push

La tecnica Browser-in-the-Browser è già stata impiegata in passato per prendere di mira utenti Steam: la società di sicurezza Group-IB aveva dato l'allarme a settembre del 2022, con la pubblicazione di un report: gli attaccanti simulano elementi autentici del browser, come la barra degli indirizzi e i titoli delle finestre. Le finestre false non possono essere ridimensionate o spostate al di fuori della finestra attiva del browser, un dettaglio che potrebbe insospettire gli utenti più attenti.

I siti coinvolti in questa campagna includono domini come caserevs[.]com, caseneiv[.]com, casenaps[.]com, simplegive[.]cn, tra gli altri. Tutti condividono lo stesso indirizzo IP, suggerendo che dietro la campagna ci sia un unico gruppo o individuo. Gli attaccanti promuovono queste pagine tramite video su YouTube e altre piattaforme.

L'obiettivo principale è sottrarre account Steam per poi rivenderli su mercati grigi specializzati. Il valore degli account può variare da decine a centinaia di migliaia di dollari, a seconda della collezione di giochi e degli oggetti in-game posseduti. Il fenomeno non è nuovo: già nel 2024 erano stati segnalati attacchi simili che utilizzavano livestream falsi su YouTube per attirare le vittime verso siti malevoli.

Per proteggere il proprio account Steam da questi attacchi è bene adottare lcune misure fondamentali (abilitare l'autenticazione a due fattori tramite Steam Guard Mobile Authenticator, verificare regolarmente l'attività dell'account per individuare accessi sospetti e non inserire mai credenziali su siti non ufficiali) ma anche mantenersi al corrente delle tecniche utilizzate dagli attaccanti, così da poter riuscire a riconoscere i segnali tipici dei tentativi di phishing, come finestre popup che non possono essere spostate o URL sospetti.