Zscaler ThreatLabz est toujours à la recherche d’acteurs malveillants essayant de tirer parti des principales nouvelles et événements mondiaux. La Coupe du Monde de la FIFA 2022 a entraîné un pic de cyberattaques ciblant les fans de football via de faux sites de streaming et des escroqueries à la loterie, tirant parti de la précipitation et de l’excitation autour de ces événements inhabituels pour infecter les utilisateurs avec des logiciels malveillants. Semblable à l’augmentation des sites et des cyberattaques observée en 2020 lors des Jeux olympiques de Tokyo, ThreatLabz a récemment observé une augmentation des nouveaux domaines enregistrés liés à la Coupe du monde de football. Tous ces domaines ne sont pas malveillants, mais en tant que défenseurs, il est important que nous classions tous les domaines nouvellement enregistrés comme suspects et menions une analyse pour éliminer les contrevenants cachés.
Vous trouverez ci-dessous un aperçu des tendances du trafic et des campagnes de cyberattaques observées autour de la prochaine Coupe du Monde de la FIFA.
Points clés
À l’approche de la Coupe du monde de football, les chercheurs de ThreatLabz ont observé une augmentation significative du nombre de nouveaux sites de streaming avec des domaines nouvellement enregistrés.
Les faux sites de streaming utilisent également des sites Web/portails légitimes pour publier de faux liens de streaming.
On voit des attaquants cibler les utilisateurs avec plusieurs escroqueries connexes comme les billets de match de la Coupe du monde, les billets d’avion et les tirages de loterie à thème, etc.
Différentes familles de logiciels malveillants ont sauté le pas et profité de l’événement de la Coupe du Monde de la FIFA pour cibler les fans de football.
Les attaquants ciblent également les utilisateurs avec la version craquée malveillante des jeux liés à la FIFA/au football.
La plupart des campagnes de logiciels malveillants et d’escroqueries tirant parti de la Coupe du Monde de la FIFA en cours utilisent des domaines nouvellement enregistrés.
Tendances du trafic
Au début de la Coupe du Monde de la FIFA, ThreatLabz a constaté une augmentation significative du nombre de transactions en streaming à partir du 21 novembre.
Etude de cas 1 : Faux sites de streaming
ThreatLabz a observé un pic de faux sites de streaming et d’autres sites d’escroquerie qui prétendent offrir le streaming gratuit des matchs de la Coupe du Monde de la FIFA, mais redirigent plutôt les utilisateurs et les invitent ensuite à entrer les détails de la carte de paiement. Des modèles similaires pour les faux sites de streaming sont apparus en 2020 lors des Jeux olympiques de Tokyo. Dans la plupart des cas actuels et passés observés par les chercheurs, les domaines nouvellement enregistrés sont utilisés pour héberger les sites frauduleux, mais dans quelques exemples, des sites légitimes établis comme Xiaomi, Reddit, OpenSea et LinkedIn hébergent de faux liens qui redirigent vers les sites malveillants.
Figure 1 : Lien du faux site de streaming posté sur un profil Linkedin et le faux site redirigé.
Dans la campagne présentée ci-dessus, les victimes sont incitées à visiter un site malveillant prétendant diffuser en direct la cérémonie d’ouverture de la Coupe du Monde de la FIFA 2022. Le site redirige ensuite vers un faux site de streaming hébergé sur Blogspot et les utilisateurs sont invités à créer un compte pour un accès gratuit pour regarder l’événement de streaming en direct. Dans un autre exemple, un lien vers un faux site de streaming hébergé sur OpenSea fait la même chose.
Figure 2 : Captures d’écran montrant un faux site de streaming et un lien connexe publié sur OpenSea.
Au fur et à mesure que l’utilisateur saisit son adresse e-mail et son mot de passe pour créer un nouveau compte, il subit plusieurs redirections qui le font finalement atterrir sur une vidéo YouTube.
Figure 3 : Chaîne de redirection.
Les visiteurs de bon nombre de ces faux sites de streaming sont invités à fournir les détails de leur carte de paiement dans des modèles de formulaire similaires à celui présenté ci-dessous.
Figure 4 : Page de paiement d’un faux site de streaming.
Cas 2 : Escroqueries liées à la Coupe du Monde de la FIFA
Au début de la Coupe du monde de football, les chercheurs ont observé une augmentation rapide des menaces et des sites frauduleux liés à l’événement. De nombreux sites nouvellement enregistrés proposant des billets pour la Coupe du monde sont hébergés par des escrocs qui tentent d’inciter les utilisateurs à payer pour de faux billets. Les acteurs de la menace derrière ces sites frauduleux essaient généralement de percevoir de faux frais de billet ou de voler les détails de la carte de paiement. Dans l’exemple ci-dessous, un site pop-up suspect proposant des billets pour les matches de la Coupe du monde a récemment été enregistré le 15 novembre. En raison du nombre élevé d’escroqueries comme celle-ci, de nombreuses organisations choisissent de bloquer, de limiter ou d’analyser les domaines nouvellement enregistrés, classés comme datant de moins de 10 jours.
Figure 5 : Faux site de billets de match de la FIFA.
Ces escroqueries en cours ne se limitent pas aux billets de match de la Coupe du monde, mais s’étendent à de nombreux aspects de la fièvre actuelle de la Coupe du monde de la FIFA. ThreatLabz a également observé une arnaque où les utilisateurs se voient offrir des prix en argent et des billets d’avion par Qatar Airways. Le domaine du site d’escroquerie associé, illustré dans la capture d’écran ci-dessous, a été enregistré le 11 novembre, ce moment suggère aux chercheurs que les attaquants derrière ce site d’attaque ciblent les fans de la Coupe du monde.
Figure 6 : Site Web d’escroquerie avec un faux message de loterie aérienne du Qatar.
On voit également des attaquants cibler les utilisateurs en envoyant de faux e-mails de loterie et en se faisant passer pour un comité de loterie de la Coupe du Monde de la FIFA 2022 au Qatar. Vous trouverez ci-dessous un de ces e-mails avec un PDF joint avec les détails de la loterie.
Figure 7 : E-mail frauduleux imitant le comité d’organisation de la FIFA.
Dans cette escroquerie, un e-mail avec une pièce jointe PDF identifie la victime cible comme le gagnant d’un grand tirage de loterie. Les utilisateurs sont invités à ouvrir la pièce jointe et à envoyer leurs données personnelles pour réclamer l’argent du prix.
Figure 8 : Fichier PDF joint à l’e-mail frauduleux.
Cas 3 : Activité du logiciel malveillant SolarMarker
SolarMarker est une famille de logiciels malveillants bien connue avec des capacités de vol d’informations qui utilisent des techniques de manipulation d’optimisation pour les moteurs de recherche (SEO) pour attirer les victimes et fournir la charge utile initiale. Le plus souvent, les chercheurs de ThreatLabz ont observé ces attaquants hébergeant les fichiers PDF malveillants sur des sites WordPress compromis avec des URL et des résultats de moteur de recherche détectables. ThreatLabz a observé quelques cas où SolarMarker cible les fans de football essayant d’acheter des autocollants WorldCup sur des sites de commerce électronique compromis. Lorsque l’utilisateur clique pour télécharger l’un de ces faux PDF, il est automatiquement redirigé vers un site contrôlé par des pirates qui fournit la charge utile du service malveillant Windows Installer (MSI) de Microsoft pour effectuer le reste de l’attaque.
Figure 9 : Fichier PDF malveillant hébergé sur le site compromis.
Cas 4 : Un faux jeu FIFA piraté distribuant des infostealers via PDF
Les attaquants utilisent des fichiers PDF malveillants hébergés sur des sites Web compromis pour fournir des voleurs d’informations en incitant les utilisateurs à télécharger ce qu’ils pensent être un enregistrement illégalement piraté des jeux de la FIFA. En août, ThreatLabz a observé une campagne de menace similaire pour les faux téléchargements de logiciels piratés, mais en comparaison, ces nouvelles découvertes comportent plusieurs améliorations ainsi que l’utilisation de fichiers PDF malveillants. Notamment, ces attaquants utilisent également des techniques de manipulation SEO pour répertorier les liens PDF malveillants dans les résultats des moteurs de recherche des « jeux FIFA piratés ». Comme indiqué dans la campagne de menaces d’août, l’une des principales caractéristiques de ces menaces est qu’elles ciblent des victimes qui font quelque chose qu’elles ne devraient pas faire, comme rechercher des versions de logiciels piratés et de jeux piratés qui nécessitent un paiement pour un accès légitime. Cibler ce type de comportement marginal de prise de risque par les utilisateurs donne définitivement un avantage aux attaquants, car les victimes s’attendent déjà à un site louche et inconnu géré par des pirates. De plus, la possibilité de vérifier la sécurité d’un site, d’un lien ou d’un fichier dépasse les capacités techniques de la plupart des visiteurs généraux.
Figure 10 : Fichier PDF malveillant qui télécharge des logiciels malveillants.
Lorsque l’utilisateur clique pour télécharger le PDF, il est instantanément redirigé vers un domaine nouvellement enregistré qui sert un fichier d’archive contenant l’exécutable malveillant.
Figure 11 : Capture d’écran de la fausse invite de téléchargement malveillante « enregistrement de jeu piraté » qui fournit la charge utile malveillante lorsque l’utilisateur clique pour télécharger le fichier.
Cas 5 : Parrot TDS fausses mises à jour de logiciels malveillants
Parrot TDS est la campagne de fausses mises à jour de logiciels malveillants, active depuis 2017, qui fonctionne en injectant du code JavaScript malveillant dans des systèmes de gestion de contenu mal sécurisés CMS (c’est-à-dire WordPress, Joomla), généralement avec des mots de passe administrateur faibles. Dans la plupart des cas, les acteurs de la menace Parrot TDS incitent les victimes à télécharger le fichier de l’outil d’accès à distance infectant en affichant une notification indiquant que l’utilisateur manque des mises à jour critiques du navigateur. Le script Parrot TDS filtre également les utilisateurs en fonction de leurs adresses IP et de leurs agents utilisateurs. ThreatLabz a récemment observé que les sites d’information sur la Coupe du Monde de la FIFA sont ciblés par ce malware, comme le montre la capture d’écran ci-dessous.
Figure 12 : Script Parrot TDS malveillant injecté dans un site WordPress compromis.
Consignes pour se protéger contre ces attaques :
Réservez des billets d’avion pour la Coupe du Monde de la FIFA uniquement auprès des vendeurs autorisés et des sites vérifiés.
Pour la diffusion en ligne des matchs de la Coupe du Monde, utilisez uniquement le site Web du partenaire de diffusion en continu de la Coupe du Monde de la FIFA.
Méfiez-vous des e-mails frauduleux liés à la loterie ou aux escroqueries.
Évitez de télécharger des logiciels et des jeux piratés à partir de sites Web non fiables.
Ne tombez pas dans le piège des offres « trop belles pour être vraies » provenant de sources inconnues et soyez extrêmement prudent lorsque vous cliquez sur des liens ou des documents provenant de ces sources.
Assurez-vous toujours que vous utilisez des connexions HTTPS/sécurisées.
Utilisez l’authentification à deux facteurs dans la mesure du possible, en particulier sur les comptes sensibles tels que ceux utilisés pour les opérations bancaires.
Assurez-vous toujours que votre système d’exploitation et votre navigateur Web disposent des derniers correctifs de sécurité installés.
Sauvegardez vos documents et fichiers multimédias – ceci est extrêmement important avec les infections par ransomware.
Indicateurs de compromis
Sites Web frauduleux/faux
LinkedIn[.]com/pulse/official-fifa-world-cup-2022-live-micker-hukkker
fifaworldcupontv[.]blogspot[.]com
opensea[.]io/collection/fifa-world-cup-2022-qatar-vs-ecuador-watch-hd-onli
sportsevents4me[.]boutique
réplique humoristique[.]Haut
i13lc8k[.]CN
bestsports-stream[.]com
passerelle vers le monde[.]com
Fifafootball[.]io
coupe du monde FIFA2022[.]rapporter
Échantillons malveillants
09FAF066833D24B049DBC3C824AE25E3
556858D3B8629407A65E2737C1DED5DC
277760FC389F8F21A50FB04D27519BEF
8C436293FD1221FAD3E48ECEDAE683A5
02E7CA1129049755697C8185AC8F98B9
D0DEE3AAC6A71AA9E9E4FC6E411574F0
3E74F0F073E296460C52EEE06E914B25
346E4B588F0A6EBE9E0E6B086D23E933
C87B80497B85B22BE53F52E0F2EBDF11
854D5DFE2D5193AA4150765C123DF8AD
URL malveillantes
eurotranslations[.]ie/wp-content/uploads/formidable/13/panini-world-cup-sticker-spreadsheet.pdf
temps de guerre[.]site/Panini-World-Cup-Sticker-Spreadsheet/pdf/sitedomen/
ww16[.]rocklandbase[.]placer
rocklandbase[.]placer
xbitwiseacre[.]placer
ww16[.]hornwien[.]placer
hornwien[.]placer
ww25[.]préamplis violents[.]placer
préamplis violents[.]placer
brasage unique[.]placer
ww6[.]brasage unique[.]placer
schémaressource[.]placer
ww16[.]brasage unique[.]placer
karenstatus[.]placer
ww16[.]suivrefoxconn[.]placer
suradmettre[.]placer
gain d’acier[.]placer
ww16[.]hrslimwound[.]placer
hrslimwound[.]placer
ww38[.]préamplis violents[.]placer
suivrefoxconn[.]placer
ww16[.]idole de la sorcellerie[.]placer
ww16[.]passionnant[.]placer
scientifiques africains[.]afrique/wp-content/uploads/2022/07/kesfaus.pdf
Arakusus[.]com/8c089e99b7202cce09c9fdc197d90c17waTJUERFj6tPQSyHT6Fi2fdM4hl9/clCEyFhwUkazz1uDE
freinnique[.]com/wp-content/uploads/verowes.pdf
yzerfonteinhebergement.co[.]za/wp-content/uploads/2022/07/Fifa_22_Product_Key_And_Xforce_Keygen___Free_Registration_Code_Free_For_Windows.pdf
sattologie[.]org/wp-content/uploads/2022/07/Fifa_22_Patch_With_Serial_Key_MacWin.pdf
jeux-blacksoft[.]com/keygen-fifa-23-numero-de-serie-key-crack-pc/
193.106.191[.]30/MicrosoftKeys.exe
193.56.146[.]168/del/lo2ma.exe
194.110.203[.]101/puta/softwinx86.exe
95.214.24[.]96/load.php?pub=mixinte
163.123.143[.]4/download/Service.bmp
*** Il s’agit d’un blog syndiqué par Security Bloggers Network de Blog Category Feed rédigé par Prakhar Shrotriya. Lisez le message original sur : https://www.zscaler.com/blogs/security-research/surge-fake-fifa-world-cup-streaming-sites-targets-virtual-fans
Salut je suis Max ! Je partage toutes mes dernières trouvailles sur l’actualité du jeuxi vidéos, gaming, équipement et software sur ce site.
