Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Фишинговая кампания GHOST STADIUM маскируется под продажу билетов FIFA

3 мин
Фишинговая кампания GHOST STADIUM маскируется под продажу билетов на FIFA World Cup 2026 и нацелена на учетные данные, платежные реквизиты и персональные данные болельщиков. По данным расследования, злоумышленники, говорящие на Chinese language, используют массовую схему с клонированными страницами официального сайта FIFA, размещенными на множестве дешевых доменов-двойников. Внешне такие ресурсы выглядят убедительно, однако их инфраструктура выдает организованную операцию. Аналитики отмечают, что кампания не опирается на сложные методы маскировки: ее сила — в точном копировании легитимного контента и в масштабировании через большое число доменов. Операция GHOST STADIUM использует клонированный контент с официального сайта продажи билетов FIFA, чтобы заставить болельщиков ввести: Главная цель — не только получить немедленную финансовую выгоду, но и собрать данные для дальнейшей перепродажи на подпольных рынках. Индикаторы указывают на то, что кампания носит локализованный характер и упр
Оглавление

Фишинговая кампания GHOST STADIUM маскируется под продажу билетов на FIFA World Cup 2026 и нацелена на учетные данные, платежные реквизиты и персональные данные болельщиков. По данным расследования, злоумышленники, говорящие на Chinese language, используют массовую схему с клонированными страницами официального сайта FIFA, размещенными на множестве дешевых доменов-двойников.

Внешне такие ресурсы выглядят убедительно, однако их инфраструктура выдает организованную операцию. Аналитики отмечают, что кампания не опирается на сложные методы маскировки: ее сила — в точном копировании легитимного контента и в масштабировании через большое число доменов.

Как работает схема

Операция GHOST STADIUM использует клонированный контент с официального сайта продажи билетов FIFA, чтобы заставить болельщиков ввести:

  • учетные данные для входа в аккаунт FIFA;
  • данные платежных карт;
  • персональные данные;
  • другие конфиденциальные сведения в ходе, по-видимому, легитимной транзакции.

Главная цель — не только получить немедленную финансовую выгоду, но и собрать данные для дальнейшей перепродажи на подпольных рынках.

Признаки скоординированной инфраструктуры

Индикаторы указывают на то, что кампания носит локализованный характер и управляется централизованно. На это, в частности, указывают:

  • комментарии на упрощенном Chinese language в исходном коде;
  • использование UI framework Layui;
  • регистрация доменов через Chinese registrars;
  • общая инфраструктура между различными доменами;
  • подозрительные IP-адреса и ASN серверов.

По оценке исследователей, это не набор разрозненных phishing-атак, а скоординированная criminal network, работающая на Chinese language.

Технические маркеры для обнаружения

С точки зрения technical detection, сайты кампании построены на модифицированной файловой структуре. В частности, они отдают code через повторно размещенную сборку React, расположенную по пути /fifa/, который не используется официальным сайтом.

К устойчивым признакам этой операции также относятся:

  • единый favicon;
  • скрипты, контролируемые operators;
  • повторяющиеся structural elements на разных доменах;
  • общая digital signature, пригодная для отслеживания.

Именно эти постоянные артефакты дают специалистам по безопасности прочную основу для поиска и идентификации широкого круга мошеннических доменов.

Что это значит для защиты

Эксперты рекомендуют сосредоточиться не на переменных значениях, которые злоумышленники могут быстро менять, а на structural elements используемых наборов инструментов. Такой подход повышает эффективность hunting и помогает выявлять новые ресурсы еще до того, как они начнут массово собирать данные жертв.

В числе ключевых мер противодействия:

  • блокировка подтвержденных phishing domains на различных уровнях network security;
  • непрерывный мониторинг новых доменных регистраций, связанных с кампанией;
  • поиск повторяющихся инфраструктурных признаков;
  • оперативное информирование пользователей о рисках.

Учитывая срочность, с которой продаются билеты на крупные спортивные события, такие сайты могут выглядеть для жертвы вполне легитимно. Именно поэтому analysts подчеркивают необходимость повышенной осведомленности и технической бдительности.

Вывод: GHOST STADIUM — это пример масштабной phishing-кампании, в которой ставка сделана на доверие к официальной тематике FIFA и визуальную убедительность клонов. При этом сама инфраструктура оставляет достаточно устойчивых следов, чтобы специалисты могли отслеживать, блокировать и нейтрализовать новые домены по мере их появления.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Фишинговая кампания GHOST STADIUM маскируется под продажу билетов FIFA".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.