2022 年世界杯已經(jīng)開(kāi)始，通過(guò)虛假流媒體網(wǎng)站與彩票針對(duì)足球迷的詐騙激增。近日，Zscaler 發(fā)現(xiàn)與世界杯相關(guān)的新注冊(cè)域名有所增加，盡管并非都是惡意的，也是值得警惕的。

流量趨勢(shì)

隨著世界杯的開(kāi)賽，從 11 月 21 日流媒體流量就開(kāi)始顯著增加。

流量變化趨勢(shì)

案例一：虛假流媒體網(wǎng)站

虛假流媒體網(wǎng)站和其他詐騙網(wǎng)站數(shù)量激增，這些網(wǎng)站會(huì)聲稱提供免費(fèi)的世界杯比賽直播服務(wù)。但實(shí)際上會(huì)將用戶重定向到其他網(wǎng)頁(yè)，提示用戶輸入銀行卡信息。類似的流媒體網(wǎng)站模板，在 2020 年?yáng)|京奧運(yùn)會(huì)期間也出現(xiàn)過(guò)。

這些虛假網(wǎng)站通常會(huì)使用新注冊(cè)的惡意域名，有些也會(huì)濫用良性服務(wù)或者提供對(duì)外跳轉(zhuǎn)的鏈接地址。

Linkedin 對(duì)外跳轉(zhuǎn)示例

虛假網(wǎng)站示例

受害者跳轉(zhuǎn)到號(hào)稱提供 2022 年世界杯開(kāi)幕式直播的惡意網(wǎng)站，該網(wǎng)站再重定向到 Blogspot 上部署的虛假流媒體網(wǎng)站，提示用戶創(chuàng)建賬戶并免費(fèi)觀看直播。除了 Linkedin，攻擊者還利用了 OpenSea 等網(wǎng)站。

OpenSea 對(duì)外跳轉(zhuǎn)示例

虛假網(wǎng)站示例

用戶輸入電子郵件地址與密碼后，會(huì)被多次重定向，最終跳轉(zhuǎn)到 YouTube。

重定向鏈條

訪問(wèn)者都會(huì)要求在表單中提交銀行卡的詳細(xì)信息：

虛假支付頁(yè)面

虛假支付頁(yè)面

案例二：門(mén)票與彩票詐騙

許多與世界杯門(mén)票銷售相關(guān)的網(wǎng)站被建立起來(lái)，引誘用戶購(gòu)買虛假門(mén)票。攻擊者直接竊取銀行卡信息或者收取機(jī)票、門(mén)票的費(fèi)用。例如下 11 月 15 日，有攻擊者部署了一個(gè)提供世界杯門(mén)票的網(wǎng)站。

虛假門(mén)票銷售網(wǎng)站

門(mén)票之外，與世界杯相關(guān)的事情都可以進(jìn)行詐騙。如下，攻擊者在 11 月 11 日部署的模擬卡塔爾航空的惡意網(wǎng)站。

虛假機(jī)票銷售網(wǎng)站

惡意郵件也開(kāi)始以 2022 年世界杯彩票委員會(huì)的名義進(jìn)行攻擊：

惡意郵件

惡意附件中表示用戶是彩票的中獎(jiǎng)?wù)?，用戶可以填?xiě)個(gè)人信息領(lǐng)取獎(jiǎng)金。

惡意附件

案例三：SolarMarker

SolarMarker 是一個(gè)非常常見(jiàn)的惡意軟件家族，經(jīng)常進(jìn)行信息竊密。攻擊者經(jīng)常在失陷的 WordPress 網(wǎng)站上部署惡意 PDF 文件，再通過(guò) SEO 進(jìn)行分發(fā)。研究人員發(fā)現(xiàn)，SolarMarker 開(kāi)始攻擊那些售賣世界杯貼紙的電子商務(wù)網(wǎng)站，將用戶重定向到其他網(wǎng)站并進(jìn)行攻擊。

失陷網(wǎng)站的惡意 PDF 文件

案例四：游戲詐騙

攻擊者通過(guò)惡意 PDF 文件，引誘用戶下載破解版 FIFA 游戲。此類攻擊行為從 8 月就開(kāi)始出現(xiàn)，一直持續(xù)到世界杯開(kāi)幕。

惡意 PDF 文件

點(diǎn)擊下載后，用戶會(huì)被重定向到其他域名，要求下載包含惡意可執(zhí)行文件的壓縮包。

惡意壓縮包

案例五：Parrot TDS 虛假更新

Parrot TDS 是 2017 年以來(lái)一直保持活躍的惡意軟件，其將惡意 JavaScript 代碼注入 CMS 中。大多數(shù)情況下，攻擊者顯示用戶的瀏覽器需要更新來(lái)引誘下載。攻擊者近日也瞄準(zhǔn)上了世界杯相關(guān)的網(wǎng)站，發(fā)起了大量攻擊。

注入腳本