2022 年世界杯已經(jīng)開始，通過虛假流媒體網(wǎng)站與彩票針對足球迷的詐騙激增。近日，Zscaler 發(fā)現(xiàn)與世界杯相關(guān)的新注冊域名有所增加，盡管并非都是惡意的，也是值得警惕的。

流量趨勢

隨著世界杯的開賽，從 11 月 21 日流媒體流量就開始顯著增加。

流量變化趨勢

案例一：虛假流媒體網(wǎng)站

虛假流媒體網(wǎng)站和其他詐騙網(wǎng)站數(shù)量激增，這些網(wǎng)站會聲稱提供免費的世界杯比賽直播服務(wù)。但實際上會將用戶重定向到其他網(wǎng)頁，提示用戶輸入銀行卡信息。類似的流媒體網(wǎng)站模板，在 2020 年東京奧運會期間也出現(xiàn)過。

這些虛假網(wǎng)站通常會使用新注冊的惡意域名，有些也會濫用良性服務(wù)或者提供對外跳轉(zhuǎn)的鏈接地址。

Linkedin 對外跳轉(zhuǎn)示例

虛假網(wǎng)站示例

受害者跳轉(zhuǎn)到號稱提供 2022 年世界杯開幕式直播的惡意網(wǎng)站，該網(wǎng)站再重定向到 Blogspot 上部署的虛假流媒體網(wǎng)站，提示用戶創(chuàng)建賬戶并免費觀看直播。除了 Linkedin，攻擊者還利用了 OpenSea 等網(wǎng)站。

OpenSea 對外跳轉(zhuǎn)示例

虛假網(wǎng)站示例

用戶輸入電子郵件地址與密碼后，會被多次重定向，最終跳轉(zhuǎn)到 YouTube。

重定向鏈條

訪問者都會要求在表單中提交銀行卡的詳細信息：

虛假支付頁面

虛假支付頁面

案例二：門票與彩票詐騙

許多與世界杯門票銷售相關(guān)的網(wǎng)站被建立起來，引誘用戶購買虛假門票。攻擊者直接竊取銀行卡信息或者收取機票、門票的費用。例如下 11 月 15 日，有攻擊者部署了一個提供世界杯門票的網(wǎng)站。

虛假門票銷售網(wǎng)站

門票之外，與世界杯相關(guān)的事情都可以進行詐騙。如下，攻擊者在 11 月 11 日部署的模擬卡塔爾航空的惡意網(wǎng)站。

虛假機票銷售網(wǎng)站

惡意郵件也開始以 2022 年世界杯彩票委員會的名義進行攻擊：

惡意郵件

惡意附件中表示用戶是彩票的中獎?wù)撸脩艨梢蕴顚憘€人信息領(lǐng)取獎金。

惡意附件

案例三：SolarMarker

SolarMarker 是一個非常常見的惡意軟件家族，經(jīng)常進行信息竊密。攻擊者經(jīng)常在失陷的 WordPress 網(wǎng)站上部署惡意 PDF 文件，再通過 SEO 進行分發(fā)。研究人員發(fā)現(xiàn)，SolarMarker 開始攻擊那些售賣世界杯貼紙的電子商務(wù)網(wǎng)站，將用戶重定向到其他網(wǎng)站并進行攻擊。

失陷網(wǎng)站的惡意 PDF 文件

案例四：游戲詐騙

攻擊者通過惡意 PDF 文件，引誘用戶下載破解版 FIFA 游戲。此類攻擊行為從 8 月就開始出現(xiàn)，一直持續(xù)到世界杯開幕。

惡意 PDF 文件

點擊下載后，用戶會被重定向到其他域名，要求下載包含惡意可執(zhí)行文件的壓縮包。

惡意壓縮包

案例五：Parrot TDS 虛假更新

Parrot TDS 是 2017 年以來一直保持活躍的惡意軟件，其將惡意 JavaScript 代碼注入 CMS 中。大多數(shù)情況下，攻擊者顯示用戶的瀏覽器需要更新來引誘下載。攻擊者近日也瞄準上了世界杯相關(guān)的網(wǎng)站，發(fā)起了大量攻擊。

注入腳本