Почти 130 тысяч учётных записей FIFA скомпрометированы: стилеры собирают данные в преддверии чемпионата мира 2026

Речь идёт об учётных данных, собранных не в результате целенаправленной атаки на ФИФА, а как побочный продукт массовых заражений инфостилерами. Это вредоносные программы, которые вытягивают пароли и куки-файлы с заражённых компьютеров. По данным исследования, только с доменов fifa.com и fifa.org было скомпрометировано более 2500 пар "логин - пароль". Угроза заключается не столько в самом количестве, сколько в потенциальной ценности этих записей для злоумышленников. В преддверии турнира доступ к аккаунтам сотрудников, партнёров и подрядчиков может открыть путь к внутренним системам, билетным платформам и операционным данным.

Оба домена принадлежат FIFA с 1995 года и используются для создания почтовых ящиков сотрудников, постановщиков и партнёров. Исследователи Flare проанализировали более 2500 скомпрометированных пар, найденных на подпольных форумах и в Telegram-каналах. Наибольший всплеск утечек пришёлся на третий квартал 2024 года, после чего количество немного снизилось, но остаётся стабильно высоким. Это говорит о том, что атаки носят не целенаправленный, а оппортунистический характер, однако накопленный объём данных создаёт серьёзные риски.

Специалисты Flare в своём отчёте проследили полную цепочку заражения одного из пострадавших, чей адрес электронной почты относился к домену FIFA. Жертва искала бесплатный редактор PDF-файлов и перешла по ссылке на сайте, предлагающем пиратское программное обеспечение. Перенаправление прошло через несколько промежуточных доменов, зарегистрированных в зоне .cfd. Это недорогие и легко заменяемые адреса, которые часто используются для краткосрочных вредоносных кампаний. В итоге пользователь попал на поддельную страницу загрузки, имитирующую Google Drive, и скачал ZIP-архив.

Внутри архива оказался легитимный исполняемый файл Steam, переименованный и упакованный вместе с вредоносной библиотекой SDL3.dll. Этот метод известен как DLL-подгрузка: при запуске подставного файла Windows загружает троянизированную библиотеку из той же папки. Далее срабатывает загрузчик HijackLoader, который также называют Rugmi или IDAT Loader. Он расшифровывает и выполняет основную вредоносную нагрузку, скорее всего, стилер Lumma. В течение нескольких минут после запуска программа собирает все сохранённые пароли из браузеров, включая логины к сервисам FIFA, и отправляет их на серверы злоумышленников. Затем эти данные продаются в Telegram-каналах.

Распределение семейств стилеров показало, что 67% заражённых машин были поражены программой Vidar, 24% - Lumma, оставшиеся приходятся на StealC, RedLine и другие. Такое доминирование Vidar и Lumma соответствует их текущей популярности на чёрном рынке. Инфекции происходят постоянно, без явных пиков, что указывает на общий рост угрозы, а не на скоординированную кампанию именно против FIFA. Тем не менее объём собранных данных огромен - почти 130 тысяч журналов - и злоумышленники могут сортировать их, выискивая ценные цели.

Последствия таких утечек выходят далеко за рамки компрометации отдельного аккаунта. Если среди скомпрометированных данных окажутся учётные записи сотрудников FIFA или партнёров, злоумышленники смогут получить доступ к CRM-системам, внутренним порталам и билетным бэкендам. Это позволит манипулировать запасами билетов, организовывать фишинговые атаки на болельщиков или перемещаться по облачным платформам и операционной инфраструктуре турнира. Доступ к куки-файлам даёт возможность войти в уже аутентифицированные сессии, например, на билетный портал FIFA, без ввода пароля. Таким образом, один заражённый компьютер может стать отправной точкой для масштабных атак с серьёзными финансовыми и репутационными последствиями.

Особую опасность представляют журналы стилеров, которые содержат не только пароли, но и автозаполнение форм, данные криптокошельков, сведения о системе и историю просмотров. Вредоносная цепочка, описанная исследователями, показывает, как легко пользователь может попасться на удочку, просто ища бесплатную программу. Мошенники постоянно обновляют инфраструктуру: старые домены блокируются, новые регистрируются в зонах вроде .cfd, и цикл повторяется.

Для организаций, связанных с чемпионатом мира, такие находки означают необходимость усиленного мониторинга утечек учётных данных. Внедрение многофакторной аутентификации и регулярная проверка наличия корпоративных адресов в даркнете могут снизить риски. Пользователям же стоит избегать загрузок с пиратских сайтов и не поддаваться на обещания бесплатного платного софта. Каждое такое действие - это потенциальная потеря контроля над своими учётными записями, которые затем могут быть использованы против крупных спортивных событий.

URLs

• https://edge2.filehost74.sbs/…
• https://generate907a38.host93s.cfd/?data=…
• https://getcdn82.host93s.cfd/?tag=u7tY5vH4
• https://href.li/?https://wikifilhost78.it.com/?data=…

MD5

• 9af16f9fc35ce00688c20318e868664a
• 9eecf800853672a56fc46d26b6fa5bb1