Bereits wenige Tage nach Start der Fußball-Weltmeisterschaft konnten die Sicherheitsforscher des Zscaler-ThreatLabz eine Häufung von gefälschten Streaming-Seiten verzeichnen. Ziel sind Fußballfans, die mit angeblichen kostenlosen Streaming-Angeboten und Gewinnspielen auf Malware-infizierte Webseiten gelockt werden sollen. Darüber hinaus werden auch angebliche Eintrittskarten, Flugtickets sowie weitere Angebote als Lockmittel eingesetzt, die die Welle des Interesses für die WM ausnutzen, um Schadcode zu transportieren.
Seit Beginn der WM konnte ein signifikanter Anstieg in der Anzahl von Streaming-Transaktionen durch das ThreatLabZ-Team festgestellt werden. Ähnlich wie bei anderen großen Sport-Events nutzen Malware-Akteure die Sportbegeisterung der Fans für ihre Angriffe aus.
Aktuell wird Schadcode über neu registrierte Webseiten mit Bezug zur Fußball-WM verbreitet. Nicht alle dieser neuen Domains sind bösartig. Dennoch ist es wichtig, diese zunächst als verdächtig einzustufen, bis Analysen durchgeführt werden konnten, um versteckte Angriffe aufzuspüren. In den meisten der von den Sicherheitsforschern beobachteten Malware-Kampagnen werden neu registrierte Domains verwendet, um Webseiten mit Schadpotenzial zu hosten. In weiteren Beispielen hosten allerdings bekannte legitime Webseiten wie Xiaomi, Reddit, Opensea und LinkedIn gefälschte Links, die zu den bösartigen Webseiten weiterleiten.
Die Bedrohungsakteure hinter diesen betrügerischen Aktivitäten versuchen in der Regel, gefälschte Ticketgebühren zu erheben oder Kredit- und Debit-Kartendaten zu stehlen. In dem gezeigten Beispiel wurde eine verdächtige Pop-up-Seite aufgedeckt, die Tickets für die Fußballweltmeisterschaft anbietet und erst am 15. November registriert wurde. Aufgrund der hohen Anzahl von Betrügereien wie dieser entscheiden sich viele Unternehmen dafür, neu registrierte Domains, die weniger als zehn Tage alt sind, zu blockieren, einzuschränken oder zu analysieren.
Das ThreatLabz-Team hat auch eine Betrugsmasche beobachtet, bei der den Benutzern Preisgelder und Flugtickets von Qatar Airways angeboten werden. Die Domain für die entsprechende Betrugsseite mit dem Screenshot unten wurde am 11. November eingerichtet. Dieser Zeitpunkt lässt die Forscher vermuten, dass die Akteure hinter dieser Webseite ebenfalls Fußballfans im Visier haben.
Doch nicht nur gefälschte Domains kommen zum Einsatz, auch Infostealer wie Solarmarker wurden beobachtet. Die Malware nutzt Techniken zur Manipulation der Suchmaschinenoptimierung (SEO), um Opfer anzulocken und die erste Payload abzuladen. In den meisten Fällen haben die Sicherheitsforscher beobachtet, dass diese Angreifer die bösartigen PDF-Dateien auf kompromittierten WordPress-Seiten mit auffindbaren URLs und Suchmaschinenergebnissen hosten. ThreatLabz hat einige Fälle beobachtet, in denen Solarmarker es auf Fußballfans abgesehen hat, die WM-Aufkleber auf kompromittierten E-Commerce-Seiten kaufen wollen. Wenn der User zum Download auf ein gefälschtes PDF klickt, wird er automatisch auf eine von den Betrügern kontrollierte Webseite umgeleitet, die den schädlichen Microsoft-Windows-Installer (MSI)-Dienst liefert, um den Rest des Angriffs durchzuführen.
Schutzmaßnahmen
Wie immer sind diese Beobachtungen nur die Spitze des Eisbergs an Malware-Aktivitäten rund um einen Großevent. Aus diesem Grund haben die Sicherheitsforscher die Tipps zusammengestellt, mit denen sich Fußballfans vor Betrug schützen können. Flugtickets und alle Services rund um die WM sollten nur bei autorisierten Anbietern und geprüften Webseiten gebucht werden. Für das Streamen der Spiele ist es ratsam, ausschließlich bekannte und vom Veranstalter genehmigte Seiten zu nutzen. Bei Lockangeboten in E -Mails ist immer Vorsicht geboten. Angeblich kostenlose Angebote sind nicht vertrauenserweckend und sollten nicht angeklickt oder heruntergeladen werden. Für alle Aktivitäten im Internet empfiehlt es sich, sichere Verbindungen wie HTTPs zu nutzen und eine Zwei-Faktor-Authentifizierung für die Accounts zu verwenden. Alle Anwendungen und das Betriebssystem müssen immer auf dem aktuellen Stand gehalten werden. Eine Backup-Strategie mit externer Datensicherung ist darüber hinaus angebracht und schützt sensible Informationen vor Dritten.
Weitere Information lassen sich im ThreatLabZ-Blog nachlesen: https://www.zscaler.de/blogs/security-research/surge-fake-fifa-world-cup-streaming-sites-targets-virtual-fans
Zscaler