Uma campanha de fraude em larga escala envolvendo mais de 700 nomes de domínio está provavelmente mirando usuários de língua russa que procuram comprar ingressos para os Jogos Olímpicos de Verão em Paris.
A operação oferece ingressos falsos para os Jogos Olímpicos e parece tirar vantagem de outros grandes eventos esportivos e musicais.
Pesquisadores analisando a campanha a chamaram de Ticket Heist e descobriram que alguns dos domínios foram criados em 2022 e que o ator de ameaças continuou registrando uma média de 20 novos domínios a cada mês.
No final de 2023, pesquisadores da empresa de threat intelligence QuoIntelligence notaram um aumento na conversa sobre os Jogos Olímpicos em Paris, agendados para começar neste 26 de julho.
Devido ao evento ter sido sempre usado para influência geopolítica e à decisão do Comitê Olímpico Internacional de banir a participação de atletas russos e bielorrussos sob a bandeira de seus países, os pesquisadores continuaram monitorando o tópico e procuraram por atividades suspeitas online.
QuoIntelligence manteve o foco em palavras-chave específicas (ex: ticket, Paris, discount, offer) usadas em domínios recém-registrados e descobriu a operação Ticket Heist, que conta com 708 domínios hospedando sites convincentes alegando vender ingressos válidos e oferecer opções de acomodação para os Jogos Olímpicos em Paris.
Os primeiros domínios descobertos foram ticket-paris24[.]com e tickets-paris24[.]com, sendo o último um clone do primeiro.
A interação do usuário que os operadores do Ticket Heist criaram para os visitantes parece legítima e incentiva o engajamento com o site e a seleção de ingressos.
Em um relatório hoje, os pesquisadores dizem que o mesmo framework de UI está presente em todos os sites relacionados ao Ticket Heist, com apenas pequenas variações no conteúdo e idioma fazendo a diferença entre os sites fraudulentos.
Além do design dos sites, o que se destaca no esquema é o preço dos ingressos falsos oferecidos.
QuoIntelligence observa que os preços estão inflados em comparação aos legítimos.
O pesquisador de ameaças da QuoIntelligence, Andrei Moldovan, disse que, embora não haja confirmação, os preços mais altos podem ser parte de um truque para fazer as vítimas acreditarem que recebem um "tratamento premium" pelo dinheiro extra, já que os ingressos não estão disponíveis através dos canais de distribuição oficiais.
Alternativamente, um preço mais alto também pode fazer as vítimas acreditarem que se trata de uma operação de scalping, que aproveita a escassez de ingressos.
Enquanto tentavam testar suas teorias sobre o objetivo do Ticket Heist e reunir informações que pudessem levar a quem está por trás dele, QuoIntelligence tentou fazer uma compra em um dos sites fraudulentos.
Eles descobriram que todas as transações são realizadas através da plataforma de processamento de pagamentos Stripe e o dinheiro é transferido apenas quando o cartão tem fundos suficientes.
Isso significa que o objetivo do operador não é coletar informações de cartão de crédito, mas roubar dinheiro da vítima.
Além disso, esse teste também revelou o nome da empresa VIP Events Team LLC, que foi criada em 26 de novembro de 2021, e ainda está ativa, mas seu site nunca foi indexado pelos motores de busca públicos.
Os pesquisadores dizem que, embora a empresa pareça estar sediada em Nova York, a seção "contate-nos" em ticket-paris24[.]com lista a empresa por trás dela como localizada em Tbilisi, Geórgia.
Analisando a infraestrutura por trás da operação Ticket Heist, os pesquisadores descobriram que todos os domínios fraudulentos estavam hospedados no mesmo endereço IP, 179[.]43[.]166[.]54, pertencente a um provedor ligado a atividades maliciosas por múltiplos serviços.
Embora cada site tenha um certificado SSL único, QuoIntelligence notou um padrão na estrutura dos nomes de domínio e subdomínios únicos usados.
Eles observaram que os subdomínios muitas vezes incluíam jswidget, widget-frame, ou widget-api, que, combinados com registros DNS e arquivos JavaScript comuns, ajudaram-nos a descobrir toda a rede de 708 domínios.
Todo mês, o ator de ameaça registrava uma média de 20 novos domínios, mas em novembro passado o número registrou um aumento significativo com 50 novos domínios sendo criados.
Atualmente, 98% dos domínios ligados ao Ticket Heist são considerados limpos de malware por serviços de análise colaborativa, o que sustenta a teoria de que o objetivo é roubar diretamente das vítimas por meio de um serviço de pagamento legítimo.
Os eventos Olímpicos em Paris não foram os únicos atrativos na operação Ticket Heist.
Os fraudadores também tentaram atrair vítimas com ingressos falsos para o Campeonato Europeu da UEFA deste ano.
QuoIntelligence encontrou vários sites em inglês que ofereciam ingressos para o evento de futebol.
Além disso, os pesquisadores descobriram sites nesta atividade fraudulenta que alegavam vender ingressos para concertos musicais de bandas famosas como Twenty One Pilots, Iron Maiden, Metallica, Rammstein, e músicos (Bruno Mars, Ludovico Einaudi).
Nesses casos, dizem os pesquisadores, os ingressos falsos eram para concertos ao redor de Moscou e outras grandes cidades na Rússia.
Embora essas páginas estivessem em inglês, QuoIntelligence diz que a maioria dos sites do Ticket Heist estava apenas em russo, sugerindo que usuários de língua russa eram o principal alvo da operação.
Outro indicador que leva a esta conclusão é a presença de detalhes de contato usando números de telefones de serviços móveis russos.
"Obviamente, isso não é 100% evidência de que a intenção é mirar indivíduos falantes de russo, mas muitos indicadores e descobertas estão apontando nessa direção", Moldovan nos disse.
Sites fraudulentos que alegam vender ingressos para os Jogos Olímpicos de Paris foram relatados anteriormente.
A Gendarmerie Nacional Francesa alertou no mês passado que encontrou 338 sites fraudulentos, muitos hospedados fora do país.
Em um relatório diferente, a empresa de segurança cibernética Proofpoint alertou sobre um desses sites sendo promovido por meio de resultados de busca patrocinados.
No Reddit, um usuário reclamou de ter sido enganado após tentar comprar um ingresso de paris24tickets[.]com.
Embora QuoIntelligence não pudesse verificar como a transação foi conduzida porque o site não está mais ativo, Moldovan diz que, com base nos recursos arquivados, o site era completamente diferente em termos de infraestrutura de hospedagem, configuração de rede e interface do usuário.
Apesar desses exemplos, QuoIntelligence diz que a operação Ticket Heist está em andamento e não foi relatada em pesquisas públicas, mostrando que vários fraudadores estão tentando capitalizar sobre os Jogos Olímpicos deste ano.
A empresa de threat intelligence fornece um conjunto de indicadores de comprometimento (IoCs) para a operação Ticket Heist que a comunidade de segurança cibernética pode usar para proteger seus clientes.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...