Fußball WM 2022: Gefälschte Streaming-Seiten zielen auf virtuelle Fans ab

Im Visier sind Fußballfans, um sie auf malware-infizierte Webseiten zu locken

[datensicherheit.de, 30.11.2022] Bereits wenige Tage nach Start der „FIFA Fußball WeltmeisterschaftTM 2022“ konnten Sicherheitsforscher der „Zscaler ThreatLabz“ nach eigenen Angaben eine Häufung gefälschter Streaming-Seiten verzeichnen. Ziel sind demnach Fußballfans, welche mit angeblichen kostenlosen Streaming-Angeboten und Lotterie-Spielen auf malware-infizierte Webseiten gelockt werden sollen. „Darüber hinaus werden auch angebliche Eintrittskarten, Flugtickets sowie weitere Angebote als Lockmittel eingesetzt, die die Welle des Interesses für die WM ausnutzen, um Schadcode zu transportieren.“

Screenshot: Zscaler ThreatLabz

Falle für Fußballfans: Lotterie-Spiele auf malware-infizierte Webseiten

Ähnlich wie bei anderen großen Sport-Events nutzen Malware-Akteure Begeisterung der Fußballfans aus

Seit Beginn der WM 2022 habe ein signifikanter Anstieg in der Anzahl von Streaming-Transaktionen durch das „ThreatLabZ“-Team festgestellt werden können. Ähnlich wie bei anderen großen Sport-Events hätten Malware-Akteure die Sportbegeisterung der Fans für ihre Angriffe ausgenutzt.

Aktuell werde Schadcode über neu registrierte Webseiten mit Bezug zur Fußball-WM verbreitet. Nicht alle dieser neuen Domains seien bösartig. „Dennoch ist es wichtig, diese zunächst als verdächtig einzustufen, bis Analysen durchgeführt werden konnten, um versteckte Angriffe aufzuspüren.“

Für die meisten der von den Sicherheitsforschern beobachteten Malware-Kampagnen würden neu registrierte Domains verwendet, um Webseiten mit Schadpotenzial zu hosten. „In weiteren Beispielen hosten allerdings bekannte legitime Webseiten wie ,Xiaomi’, ,Reddit’, ,OpenSea’ und ,LinkedIn’ gefälschte Links, die zu den bösartigen Webseiten weiterleiten.“

ThreatLabz haben Fälle beobachtet, in denen SolarMarker es auf Fußballfans abgesehen hat, welche WM-Aufkleber kaufen

Die Bedrohungsakteure hinter diesen betrügerischen Aktivitäten versuchten in der Regel, gefälschte Ticketgebühren zu erheben oder Kredit- und Debit-Kartendaten zu stehlen. „In dem unten gezeigten Beispiel wurde eine verdächtige Pop-up-Seite aufgedeckt, die Tickets für die Fußballweltmeisterschaft anbietet und erst am 15. November registriert wurde. Aufgrund der hohen Anzahl von Betrügereien wie dieser entscheiden sich viele Unternehmen dafür, neu registrierte Domains, die weniger als zehn Tage alt sind, zu blockieren, einzuschränken oder zu analysieren.“

Das „ThreatLabz“-Team habe auch eine Betrugsmasche beobachtet, bei der den Benutzern Preisgelder und Flugtickets von Qatar Airways angeboten würden. Die Domain für die entsprechende Betrugsseite mit dem Screenshot unten sei am 11. November 2022 eingerichtet worden. „Dieser Zeitpunkt lässt die Forscher vermuten, dass die Akteure hinter dieser Webseite ebenfalls Fußballfans im Visier haben.“

Doch nicht nur gefälschte Domains kämen zum Einsatz, auch sogenannte Infostealer wie „SolarMarker“ seien beobachtet worden. Die Malware nutze Techniken zur Manipulation der Suchmaschinenoptimierung (SEO), um Opfer anzulocken und die erste „Payload“ abzuladen. In den meisten Fällen hätten die Sicherheitsforscher beobachtet, dass diese Angreifer die bösartigen PDF-Dateien auf kompromittierten „Wordpress“-Seiten mit auffindbaren URLs und Suchmaschinenergebnissen hosteten. „ThreatLabz“ hätten einige Fälle beobachtet, in denen „SolarMarker“ es auf Fußballfans abgesehen habe, die WM-Aufkleber auf kompromittierten E-Commerce-Seiten kaufen wollten. „Wenn der User zum Download auf ein gefälschtes PDF klickt, wird er automatisch auf eine von den Betrügern kontrollierte Webseite umgeleitet, die den schädlichen ,Microsoft Windows Installer’ (MSI)-Dienst liefert, um den Rest des Angriffs durchzuführen.“

Screenshot: Zscaler ThreatLabz

Gefälschte, erst am 15.11.2022 registrierte Webseite bietet Tickets für Fußballweltmeisterschaft an

Schutzmaßnahmen nicht nur für Fußballfans

Wie immer seien diese Beobachtungen nur die „Spitze des Eisbergs an Malware-Aktivitäten rund um einen Großevent“. Aus diesem Grund haben die Sicherheitsforscher die Tipps zusammengestellt, mit denen sich Fußballfans vor Betrug schützen könnten:

• Flugtickets und alle Services rund um die „FIFA Fußball-WeltmeisterschaftTM“ sollten nur bei autorisierten Anbietern und geprüften Webseiten gebucht werden.
• Für das Streamen der Spiele sei es ratsam, ausschließlich bekannte und vom Veranstalter genehmigte Seiten zu nutzen.
• Bei Lockangeboten in E-Mails sei immer Vorsicht geboten. Angeblich kostenlose Angebote seien nicht vertrauenserweckend und sollten nicht angeklickt oder heruntergeladen werden.
• Für alle Aktivitäten im Internet empfehle es sich, sichere Verbindungen wie HTTPs zu nutzen und eine Zwei-Faktor-Authentifizierung für die Konten zu verwenden.
• Alle Anwendungen und das Betriebssystem müssten immer auf dem aktuellen Stand gehalten werden.
• Eine Backup-Strategie mit externer Datensicherung sei darüber hinaus angebracht und schütze sensible Informationen vor Dritten.

Weitere Informationen zum Thema:

zscaler, Prakhar Shrotriya & Kaivalya Khursale, 22.11.2022
Surge of Fake FIFA World Cup Streaming Sites Targets Virtual Fans