Operation FanTrap

Editors' Pick

A Cyble kutatása szerint az Operation FanTrap nem egyszerű adathalász kampány, hanem egy több komponensből álló, előre felépített csalási rendszer, amely a FIFA World Cup 2026 iránti globális érdeklődést használja ki. A kutatók több mint 4 000 világbajnoksághoz kapcsolódó domaint azonosítottak, amelyek jelentős részét már hónapokkal a hivatalos jegyértékesítési folyamatok előtt regisztrálták. Ez arra utal, hogy a támadók hosszú távú infrastruktúrát építettek ki, nem pedig opportunista csalási kísérletekről van szó.

A kampány elsődleges elemei közé tartoznak a hamis jegyértékesítő oldalak, amelyek vizuálisan a FIFA vagy hivatalos jegyforgalmazók felületeit utánozzák. Ezek célja a bankkártyaadatok, személyes adatok és hitelesítési információk megszerzése. A kutatók több olyan oldalt is találtak, amelyek valós fizetési folyamatot imitáltak, miközben az adatok közvetlenül a támadók infrastruktúrájára kerültek. Egyes esetekben a felhasználók hamis fizetési visszaigazolást kaptak, hogy késleltessék a csalás felismerését.

A második réteg az utazási és szállsáfoglalási infrastruktúra. A támadók VIP-csomagokat, szállásokat, repülőjegyeket és exkluzív rendezvényhozzáféréseket kínálnak jelentős kedvezményekkel. Ezek gyakran rövid életű domaineken működnek, amelyek mögött anonim regisztrációs adatok és offshore tárhelyszolgáltatások állnak. A Cyble szerint több ilyen oldal ugyanazokat a backend elemeket, JavaScript-könyvtárakat és analitikai azonosítókat használta, ami közös üzemeltetésre utal.

A kutatás malware-terjesztési elemeket is azonosított. Egyes FIFA-tematikájú oldalak hamis mobilalkalmazásokat, streaming klienseket vagy rajongói csomag letöltéseket kínáltak, amelyek információlopó malware-eket vagy adware komponenseket tartalmaztak. Emellett több domain kapcsolódott hitelesítőadat-gyűjtő infrastruktúrához, ahol a támadók FIFA-fiók, Google- vagy Microsoft-bejelentkezési adatokat próbáltak megszerezni.

A Cyble elemzése szerint ugyanaz a domain-infrastruktúra, hosting szolgáltató és affiliate hálózat gyakran egyszerre szolgál jegycsalási, adathalászati és malware-terjesztési célokat. Ez arra utal, hogy a támadók nem elszigetelt kampányokat futtatnak, hanem a világbajnokság köré épülő teljes digitális gazdaságot próbálják monetizálni.

A Cofense által feltárt kampányban a támadók a 2026-os FIFA-világbajnokság körüli érdeklődést használták fel rendkívül személyre szabott adathalász e-mailek terjesztésére, amelyek végül a VoidRift malware telepítéséhez vezettek. A művelet különlegessége, hogy a támadók előzetes felderítést végeztek a célpontokról, és az e-maileket vállalatspecifikus információkkal, valós munkakörökhöz kapcsolódó tartalommal, valamint a szervezetek arculati elemeivel látták el, jelentősen növelve a hitelességet. A fertőzési lánc legitim felhőszolgáltatásokat és megbízhatónak tűnő infrastruktúrát használt a kezdeti észlelés megnehezítésére, majd több lépcsőben telepítette a VoidRift betöltőkomponenst és végső payloadját. A malware célja elsősorban a rendszerfelderítés, a hitelesítő adatok gyűjtése és a további hozzáférés előkészítése volt. A Cofense szerint a kampány jól mutatja, hogy a támadók a nagy nemzetközi eseményeket már nem tömeges spamkampányokhoz, hanem célzott, hírszerzési jellegű social engineering műveletekhez használják fel, ahol a siker kulcsa a részletes előzetes információgyűjtés és a személyre szabott csali tartalom.

A FIFA 2026 különösen vonzó célpont, mivel három országban (USA, Kanada, Mexikó) zajlik, várhatóan rekordnézőszámot ér el, és több millió szurkoló keres jegyeket, utazási információkat és kapcsolódó szolgáltatásokat online. Az ilyen környezet ideális feltételeket teremt a nagyléptékű pénzügyi csalásokhoz, hitelesítőadat-lopáshoz és malware-terjesztéshez.

FORRÁS – Cyble

FORRÁS – Cofense