À medida que a Copa do Mundo FIFA 2026 se aproxima, cibercriminosos estão se movendo rapidamente para lucrar com a empolgação. Pesquisadores descobriram uma operação de fraude massiva direcionada aos fãs do maior torneio de futebol do mundo, com mais de 300 domínios falsos já ativos. A operação é sofisticada, bem financiada e construída para enganar até mesmo usuários cautelosos. Com bilhões de dólares em jogo, esta campanha é uma das ameaças cibernéticas mais sérias ligadas a um grande evento esportivo.
Descoberta e escopo da campanha
A campanha explora a enorme demanda por ingressos da Copa do Mundo FIFA 2026, sediada nos Estados Unidos, Canadá e México. Mais de 150 milhões de ingressos foram solicitados apenas nas primeiras 14 dias da janela de vendas, criando a urgência desesperada que os golpistas aproveitam. Os fraudadores construíram uma ampla rede de sites falsos projetados para parecer exatamente como as plataformas oficiais da FIFA, e as vítimas que chegam a essas páginas não têm uma maneira fácil de saber que estão em um site fraudulento.
A Group-IB disse em um relatório compartilhado com a Cyber Security News que os pesquisadores identificaram seis esquemas de fraude distintos, quatro atores de ameaças independentes e mais de 3.500 domínios fraudulentos que imitam a presença web da FIFA. No centro está o ator de ameaças designado GHOST STADIUM, um operador motivado financeiramente de língua chinesa que executa uma campanha de phishing coordenada em mais de 300 domínios. As perdas financeiras totais desta campanha sozinha podem chegar a bilhões.
Indicadores técnicos e infraestrutura
O kit de phishing GHOST STADIUM é uma aplicação de página única baseada em React que clona o site oficial da FIFA com precisão quase pixel-perfect. Construído sobre o framework Layui 2.7.6, uma biblioteca de interface do usuário chinesa virtualmente desconhecida fora da comunidade de desenvolvedores chinesa, o kit replica o fluxo de login SSO PingIdentity da FIFA usando um client_id real retirado diretamente do SSO real da FIFA.
Após roubar credenciais, uma função de redefinição de senha bloqueia as vítimas imediatamente e, em seguida, as redireciona silenciosamente para o site real da FIFA para que o ataque pareça um login bem-sucedido. O kit detecta automaticamente o idioma do navegador e alterna sua interface em 11 idiomas mais três variantes chinesas: Simplificado, Tradicional e Chinês de Hong Kong. Essa distinção granular é um sinal direto de atribuição apontando para um desenvolvedor de língua chinesa.
Três IDs de Meta Pixel compartilhados foram encontrados em todos os 300 domínios de phishing, confirmando que um único operador controla toda a campanha e está usando anúncios do Facebook para direcionar tráfego direcionado para páginas falsas.
Infostealer e roubo de credenciais
O pipeline de infostealer apresenta um perigo separado, mas igualmente sério, correndo ao lado da operação de phishing. Malwares Vidar e Lumma são entregues através de iscas de software pirata, redes de malvertising e canais de trapaceiros do Telegram. Esses stealers copiam todas as credenciais armazenadas no navegador, token de sessão e semente de carteira de criptomoeda de dispositivos infectados. As credenciais da FIFA são colhidas como colateral incidental que depois alimenta pipelines de takeover de conta e mercados de revenda na dark web.
Mais de 2.513 pares de credenciais de conta FIFA confirmados já estão circulando em mercados da dark web a preços entre US$ 5 e US$ 50 por par. Aproximadamente 170.000 logs de infostealer contendo referências à FIFA foram identificados, mostrando o quão amplo o pipeline de roubo de credenciais cresceu bem antes do início do torneio.
Indicadores de Comprometimento (IoCs)
Os pesquisadores da Group-IB forneceram uma lista detalhada de indicadores de comprometimento que podem ser usados para detecção e mitigação. Entre os principais indicadores estão IDs de Meta Pixel compartilhados, domínios de redirecionamento e gateways de pagamento criptografados.
- Meta Pixel ID: 1912432924230210, 2103242506309126, 3156091303316034
- Cloned FIFA SSO Client ID: 74f02607-fc20-3132-a3650-1b93080bbn96f
- Crypto Gateway: ChainUGO (testnet.chainugo.com)
- Domínios de Redirecionamento: football-ticket[.]top, football-ticket[.]shop, football-game[.]shop
- Domínios Falsos (Amostra): fifa[.]bio, fifa[.]center, goldfifa[.]red, salefifa[.]shopping
- IPs de Hospedagem: 183.164.164[.]110, 202.46.55.1[.]1, 9355.112.212[.]251
Medidas de mitigação recomendadas
A Group-IB recomenda a implementação de ferramentas de Proteção de Risco Digital para monitoramento contínuo e remoção automatizada de infraestrutura de imitação de marca. Os usuários devem comprar ingressos apenas através dos canais oficiais da FIFA e habilitar a autenticação multifator imediatamente.
As instituições financeiras são instadas a alertar sobre transações roteadas pelos cinco canais de pagamento identificados vinculados a esta campanha, enquanto os fãs devem evitar anúncios ou mensagens temáticos da FIFA que ofereçam preços baixos combinados com táticas de pressão de contagem regressiva.
Implicações para a segurança corporativa
Esta campanha destaca a necessidade de vigilância contínua contra phishing e fraudes relacionadas a eventos de grande escala. As empresas devem monitorar o uso de credenciais corporativas em serviços relacionados a eventos esportivos e educar os funcionários sobre os riscos de phishing. A implementação de soluções de detecção de phishing e a revisão de políticas de segurança de senhas são essenciais para mitigar o risco.
Perguntas frequentes
Qual é o principal objetivo da campanha GHOST STADIUM?
O objetivo é roubar credenciais de usuários e realizar transações financeiras fraudulentas através de sites falsos de venda de ingressos e serviços.
Como os usuários podem se proteger?
Os usuários devem comprar ingressos apenas através de canais oficiais, habilitar autenticação multifator e evitar clicar em links suspeitos em anúncios.
Quais são os riscos para as empresas?
As empresas podem sofrer comprometimento de credenciais de funcionários e perda de dados se os funcionários usarem credenciais corporativas em sites falsos.