Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Фишинговый набор GHOST STADIUM атакует фанатов ЧМ

1
3 мин
Группа-ИБ выявила фишинговый набор под названием GHOST STADIUM, который был специально ориентирован на болельщиков Чемпионата мира и пользователей, ищущих билеты на матчи. По данным анализа, инфраструктура кампании включала около 3 079 активных доменов, многие из которых имитировали англоязычных продавцов билетов, однако большая часть ресурсов была связана с сайтами на других языках, прежде всего на китайском и индийском. Исследователи отмечают, что эта активность совпала по времени с официальными соглашениями FIFA о трансляции в соответствующих регионах. Такой тайминг указывает на оппортунистический подход злоумышленников: они используют повышенный интерес к турниру, чтобы максимизировать охват и вероятность успешного обмана. Анализ выявил ряд характерных строк и элементов, которые могут служить надежными индикаторами присутствия GHOST STADIUM. В их числе — строка «2026TOfficial» и плохо структурированная маркетинговая фраза, связанная с Чемпионатом мира. Подобные аномалии маловероятн
Оглавление

Группа-ИБ выявила фишинговый набор под названием GHOST STADIUM, который был специально ориентирован на болельщиков Чемпионата мира и пользователей, ищущих билеты на матчи. По данным анализа, инфраструктура кампании включала около 3 079 активных доменов, многие из которых имитировали англоязычных продавцов билетов, однако большая часть ресурсов была связана с сайтами на других языках, прежде всего на китайском и индийском.

Исследователи отмечают, что эта активность совпала по времени с официальными соглашениями FIFA о трансляции в соответствующих регионах. Такой тайминг указывает на оппортунистический подход злоумышленников: они используют повышенный интерес к турниру, чтобы максимизировать охват и вероятность успешного обмана.

Признаки фишингового набора

Анализ выявил ряд характерных строк и элементов, которые могут служить надежными индикаторами присутствия GHOST STADIUM. В их числе — строка «2026TOfficial» и плохо структурированная маркетинговая фраза, связанная с Чемпионатом мира. Подобные аномалии маловероятны в легитимных коммуникациях FIFA, поэтому они особенно полезны для выявления мошеннических доменов.

Дополнительная проверка обнаружила артефакты китайского языка в JavaScript набора. Это усилило вывод о том, что фишинговая инфраструктура может быть связана с конкретными злоумышленниками из определенного географического региона.

Как устроена инфраструктура

Большинство обнаруженных доменов использовали Cloudflare для доставки контента. Это скрывает исходные IP-адреса и существенно усложняет анализ инфраструктуры стандартными методами.

При этом часть активных доменов отклонялась от ожидаемых соглашений об именовании сайтов, которые могли бы использоваться для продажи билетов FIFA. По оценке аналитиков, это свидетельствует о сочетании прямого злоупотребления брендом с разными фишинговыми схемами, направленными на обход базовых эвристик обнаружения доменов.

Методика исследования

Для анализа использовался комплекс инструментов, включая Python SDK от Validin. Это позволило изучать данные разрешения DNS и регистрации доменов, а также отличать активные ресурсы от неактивных.

Такой подход помог аналитикам точнее идентифицировать текущие фишинговые кампании и выявлять инфраструктуру, которая действительно использовалась в атаке, а не просто была зарегистрирована заранее.

Поведенческие признаки кампании

Результаты исследования указывают на типичную для подобных операций модель фишинговой инфраструктуры. Среди ключевых тактик:

  • массовая регистрация доменов;
  • выборочная активация части инфраструктуры;
  • повторное использование фишинговых наборов;
  • применение CDN и подобных сервисов для маскировки;
  • быстрая смена доменных имен для опережения систем обнаружения.

Отдельно отмечается, что фишинговые домены часто меняли параметры DNS уже после регистрации. Это может указывать на стратегию, при которой злоумышленники используют термины, связанные с FIFA, для повышения видимости и легитимности сайтов в глазах жертв.

Что важно для защитников

Для специалистов по кибербезопасности ключевыми индикаторами остаются аномальные HTML-строки, некорректные маркетинговые фразы, повторяющиеся URL-адреса, связанные с мероприятиями Чемпионата мира по футболу, а также распространенность комментариев на китайском языке.

Эксперты подчеркивают, что подобные схемы особенно опасны во время крупных событий, когда интерес аудитории резко возрастает, а пользователи чаще переходят по ссылкам, связанным с билетами, трансляциями и официальными сервисами турнира.

Это подчёркивает необходимость постоянной бдительности и мониторинга аналогичных тактик среди организаций в ожидании подобных фишинговых схем.

В условиях высокой активности злоумышленников защитникам рекомендуется внимательно отслеживать доменные кластеры, связанные с FIFA и Чемпионатом мира, проверять аномалии в содержимом страниц и учитывать региональные особенности инфраструктуры, включая использование неанглоязычных артефактов в коде и комментариях.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Фишинговый набор GHOST STADIUM атакует фанатов ЧМ".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.