Киберпреступники атакуют ЧМ-2026: 10 000 подозрительных доменов, фишинг на организаторов и обход MFA

Начиная с января 2026 года эксперты зафиксировали регистрацию более десяти тысяч новых доменов, так или иначе связанных с чемпионатом мира. Каждый месяц появлялось около двух тысяч таких адресов. Далеко не все они вредоносны, но генеративный искусственный интеллект сегодня позволяет создавать сайты, контент и даже приложения практически без затрат. Уровень автоматизации таких кампаний достиг новой высоты, и ручная проверка каждого домена для защитников стала непосильной задачей.

Главной мишенью злоумышленников стали мобильные устройства. Схема выглядит так: в социальных сетях публикуется "чистый" пост - например, с предложением бесплатного просмотра матча или дешевых билетов. Пост не содержит ничего подозрительного, поэтому его не удаляют. Однако ссылка в нем ведет не на сайт, а на приглашение в один из мессенджеров - WhatsApp, Telegram или Discord. Внутри мессенджера, вне контроля модерации соцсети, и происходит обман или заражение вредоносным кодом. Пользователи обычно больше доверяют тому, что видят на экране смартфона, и реже задумываются о безопасности.

Время атаки тоже выбрано не случайно. Многие каналы просили подписчиков ждать ссылку на "бесплатную трансляцию" ровно за пять минут до начала каждого матча. В этот момент болельщики находятся в состоянии сильного возбуждения и вряд ли станут проверять, ведет ли ссылка на легитимный ресурс. Они кликают, принимают все всплывающие запросы и пытаются смотреть игру, пока их устройство тихо компрометируется.

Однако самое тревожное открытие - атаки на организаторов турнира. Arctic Wolf в своем отчете описала целенаправленный фишинг на сотрудников принимающих городов. Исследователи обнаружили PDF-документ, который имитирует официальное "Руководство для сотрудника" чемпионата мира в Филадельфии. Файл стилизован под HR-материалы, содержит логотип города и даже упоминает местную туристическую организацию. В конце документа жертву просят отсканировать QR-код, чтобы "получить доступ к цифровой версии руководства". На самом деле код ведет на вредоносный ресурс, открывающийся на мобильном устройстве, которое обычно защищено слабее, чем компьютер. Примечательно, что в документ вставлена просьба "не пересылать" его другим людям - это уловка, чтобы замедлить обнаружение угрозы.

Еще одна находка касается поддельных сайтов, якобы предлагающих вакансии в FIFA. С их помощью злоумышленники воруют корпоративные учетные записи Google Workspace. Фишинговая платформа использует продвинутую технику перехвата между пользователем и настоящим сервисом - так называемый "злоумышленник посередине" в реальном времени. Работает это так: жертва вводит свой пароль на поддельной странице, атакующий сразу же входит в настоящий аккаунт, Google запрашивает второй фактор, и та же страница показывает точное соответствующее окно для ввода одноразового кода. Код перехватывается и передается злоумышленнику в течение нескольких секунд. В результате многофакторная аутентификация не спасает: одноразовые пароли, SMS и push-подтверждения не могут противостоять такому ретранслятору. Единственная защита - криптографически привязанные ключи доступа (passkeys или аппаратные токены FIDO2), которые привязаны к легитимному адресу сайта.

Не забывают атакующие и про традиционные десктопные угрозы. Один из обнаруженных образцов маскируется под просмотрщик цен на билеты. После запуска на Windows он распаковывает скрытый сценарий, который устанавливает полноценную программу-похититель данных. Она собирает пароли и куки из браузеров, токены Discord и Telegram, снимки экрана, данные Wi-Fi, а также доступ к Steam, FileZilla, PuTTY и менеджерам паролей. Вся добыча отправляется на каналы злоумышленников в Telegram и Discord. Для мобильных устройств обнаружена вредоносная программа, замаскированная под покупку билетов, которая на самом деле занимается майнингом криптовалюты на зараженном телефоне.

По мере приближения чемпионата мира эксперты ожидают резкий всплеск атак. Уже сейчас понятно, что пик придется на дни матчей, когда за несколько минут до старта игры начнут распространяться фишинговые ссылки. Организаторам и принимающим городам исследователи рекомендуют немедленно внедрять защищенную аутентификацию, обучать персонал распознавать подобные уловки и внимательно следить за необычными изменениями в учетных записях.

Угроза масштабна и разнообразна. Преступники не ждали первого свистка - их инфраструктура полностью готова и нацелена одновременно на фанатов, на спонсоров и на самих организаторов. Активность, описанная в отчете, - это лишь репетиция. Основное событие для киберпреступников совпадет по времени с главным спортивным событием для всего мира.

Domains

• aaworldcuptickets.com
• accessor.fud2026.com
• fifa-careerhub.com
• fifa-careerpath.com
• fifa-careerportal.com
• fifahiring.com
• fifa-hiring.com
• fifa-hiringhub.com
• fifa-hr.com
• fifajobs.com
• fifa-talenthub.com
• fifeq2026eqbackeq.onrender.com
• fud2026.com
• ipwho.is
• jobs-fifa.com

Domain Port Combinations

• pool.fud2026.com:9000
• pool-proxy.fud2026.com:9000

SHA256

• 0ec56970734aae3e5401bb9856455db753b574f5fcb0e4487f8ab92e15678024
• 234e4a0709a9359da8a0de1b274bf557874d3787602d4292d54563d5a439f53b
• 27ab53a4649d6fbb7395bf7caa1790d49615efbb7286ad298a37868f139b21c8
• 54a7d368b2f7817a0d8ee1f210e305207ef824f15c5d4e652adcdc4deb457928
• 58e39152786a0f48dd005e4189769be9e0c2e2d0067c8128252d91ae85559117
• 684fc3474df1bf51e964abe2442e35a5c0bc437d2b83c9aef8ce2d33903a2793
• 98c884d4c9931cdfc85df26a57283c4b4801f7810f4b7ee2398002e473643801
• f753a9aa8ae2f7bb058feb524b6bbac9b25450216359181cd11410d8519dd600