Фишинговая кампания GHOST STADIUM маскируется под продажу билетов FIFA

Фишинговая кампания GHOST STADIUM маскируется под продажу билетов на FIFA World Cup 2026 и нацелена на учетные данные, платежные реквизиты и персональные данные болельщиков. По данным расследования, злоумышленники, говорящие на Chinese language, используют массовую схему с клонированными страницами официального сайта FIFA, размещенными на множестве дешевых доменов-двойников.

Внешне такие ресурсы выглядят убедительно, однако их инфраструктура выдает организованную операцию. Аналитики отмечают, что кампания не опирается на сложные методы маскировки: ее сила — в точном копировании легитимного контента и в масштабировании через большое число доменов.

Как работает схема

Операция GHOST STADIUM использует клонированный контент с официального сайта продажи билетов FIFA, чтобы заставить болельщиков ввести:

• учетные данные для входа в аккаунт FIFA;
• данные платежных карт;
• персональные данные;
• другие конфиденциальные сведения в ходе, по-видимому, легитимной транзакции.

Главная цель — не только получить немедленную финансовую выгоду, но и собрать данные для дальнейшей перепродажи на подпольных рынках.

Признаки скоординированной инфраструктуры

Индикаторы указывают на то, что кампания носит локализованный характер и управляется централизованно. На это, в частности, указывают:

• комментарии на упрощенном Chinese language в исходном коде;
• использование UI framework Layui;
• регистрация доменов через Chinese registrars;
• общая инфраструктура между различными доменами;
• подозрительные IP-адреса и ASN серверов.

По оценке исследователей, это не набор разрозненных phishing-атак, а скоординированная criminal network, работающая на Chinese language.

Технические маркеры для обнаружения

С точки зрения technical detection, сайты кампании построены на модифицированной файловой структуре. В частности, они отдают code через повторно размещенную сборку React, расположенную по пути /fifa/, который не используется официальным сайтом.

К устойчивым признакам этой операции также относятся:

• единый favicon;
• скрипты, контролируемые operators;
• повторяющиеся structural elements на разных доменах;
• общая digital signature, пригодная для отслеживания.

Именно эти постоянные артефакты дают специалистам по безопасности прочную основу для поиска и идентификации широкого круга мошеннических доменов.

Что это значит для защиты

Эксперты рекомендуют сосредоточиться не на переменных значениях, которые злоумышленники могут быстро менять, а на structural elements используемых наборов инструментов. Такой подход повышает эффективность hunting и помогает выявлять новые ресурсы еще до того, как они начнут массово собирать данные жертв.

В числе ключевых мер противодействия:

• блокировка подтвержденных phishing domains на различных уровнях network security;
• непрерывный мониторинг новых доменных регистраций, связанных с кампанией;
• поиск повторяющихся инфраструктурных признаков;
• оперативное информирование пользователей о рисках.

Учитывая срочность, с которой продаются билеты на крупные спортивные события, такие сайты могут выглядеть для жертвы вполне легитимно. Именно поэтому analysts подчеркивают необходимость повышенной осведомленности и технической бдительности.

Вывод: GHOST STADIUM — это пример масштабной phishing-кампании, в которой ставка сделана на доверие к официальной тематике FIFA и визуальную убедительность клонов. При этом сама инфраструктура оставляет достаточно устойчивых следов, чтобы специалисты могли отслеживать, блокировать и нейтрализовать новые домены по мере их появления.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.