Un nouveau phishing Steam promu via les messages Discord promet un abonnement Nitro gratuit si un utilisateur associe son compte Steam, que les pirates utilisent ensuite pour voler des éléments de jeu ou promouvoir d’autres escroqueries.
L’escroquerie de phishing est menée par de nombreux comptes Discord contrôlés par les acteurs de la menace ou en tant que robots automatisés qui envoient aux autres utilisateurs des liens vers ce qui est censé être un guide sur la façon de recevoir Discord Nitro gratuitement.
« Voyez, ici nitro gratuit 1 mois, associez simplement votre compte Steam et profitez-en », lit-on dans les messages de phishing envoyés aux utilisateurs de Discord, comme indiqué ci-dessous.
Appâter les victimes avec des messages directs sur Discord
Source : Malwarebytes
Bien que cela ressemble à une campagne promotionnelle (autre que la grammaire), les liens dirigent les victimes vers un site de phishing que les attaquants ont fait ressembler à une page Discord légitime faisant la promotion de la fonctionnalité Nitro.
Comment lier Discord à Twitch, Steam, Xbox, Battlenet ?
Après avoir cliqué sur le bouton « Get Nitro », un faux formulaire de connexion Steam s’affiche, qui semble presque identique au formulaire légitime.
En réalité, la fenêtre contextuelle est une nouvelle fenêtre ouverte directement sur la page de phishing, de sorte que toutes les informations d’identification Steam saisies sont envoyées directement au serveur du pirate.
Source : Malwarebytes
Lorsqu’elles tentent de se connecter, une erreur s’affiche pour les victimes : « Le nom de compte ou le mot de passe que vous avez entré est incorrect » et invite l’utilisateur à se reconnecter.
Cette méthode de double vérification garantit qu’aucune erreur de frappe n’a été commise pendant le processus de phishing et que les informations d’identification volées sont correctes.
Nitro comme appât
Discord Nitro est un plan d’abonnement payant sur la populaire plate-forme VoIP et de messagerie instantanée, qui comprend un ensemble d’avantages très recherchés de personnalisation de compte, de téléchargement de contenu et de boost de serveur.
La popularité de Nitro est telle que nous avons vu des souches de logiciels malveillants distribuées en utilisant le même appât et même des gangs de ransomwares demandant des codes cadeaux Nitro en échange d’un décrypteur fonctionnel.
La dernière arnaque analysée par Malwarebytes est très similaire à celui vu par EZpublish-france.fr à l’été 2019. Cependant, avec cette arnaque, les acteurs de la menace ont utilisé un « jeu gratuit » comme appât pour servir les victimes avec une fausse page de connexion unique Steam.
Au fur et à mesure que ces URL de destination sont signalées et mises sur liste noire, les acteurs en enregistrent de nouvelles et déplacent leurs opérations malveillantes vers une nouvelle infrastructure, comme le montre la liste ci-dessous partagée par Malwarebytes.
Source : Malwarebytes
De même, les leurres de phishing changent constamment avec de nouveaux leurres pour intriguer les joueurs avec la promesse de quelque chose de gratuit.
Cela dit, lorsqu’ils utilisent Discord, les utilisateurs doivent se méfier de tout message prétendant offrir quelque chose gratuitement s’ils cliquent sur une URL.
Il n’y a rien d’offert gratuitement en dehors des plates-formes elles-mêmes, donc si Steam et Discord lancent une campagne promotionnelle ensemble, vous la verrez sur l’une ou l’autre des applications/sites Web officiels respectifs.