Una campaña de fraude a gran escala con más de 700 nombres de dominio probablemente esté dirigida a usuarios de habla rusa que desean comprar entradas para los Juegos Olímpicos de Verano de París.
La operación ofrece entradas falsas para los Juegos Olímpicos y parece sacar provecho de otros grandes eventos deportivos y musicales.
Los investigadores que analizaron la campaña la llamaron Ticket Heist y descubrieron que algunos de los dominios se crearon en 2022 y el actor de amenazas continuó registrando un promedio de 20 nuevos cada mes.
Entradas falsas y caras para los Juegos Olímpicos
A finales de 2023, los investigadores de la empresa de inteligencia sobre amenazas QuoIntelligence notaron un aumento en las conversaciones en torno a los Juegos Olímpicos de París, cuyo inicio está previsto para el 26 de julio.
Dado que el evento se ha utilizado históricamente para influir geopolíticamente y tras la decisión del Comité Olímpico Internacional de prohibir la participación de atletas rusos y bielorrusos bajo la bandera de su país, los investigadores han seguido monitoreando el tema y buscando actividades sospechosas en línea.
QuoIntelligence controló palabras clave específicas (por ejemplo, boleto, apuestas, descuento, oferta) utilizadas en dominios recientemente registrados y descubrió la operación Ticket Heist que aprovecha 708 dominios que alojan sitios web atractivos que afirman vender entradas válidas y ofrecer opciones de alojamiento para los Juegos Olímpicos de París.
Los primeros dominios de este tipo descubiertos fueron ticket-paris24[.]com y entradas-paris24[.]com, siendo este último un clon del primero.
«A pesar de algunos errores menores de ortografía y gramática, probablemente debidos a una traducción directa del ruso al inglés, el sitio web y su experiencia de usuario fueron comparables a los de un sitio premium» – QuoInteligencia
La interacción del usuario que los operadores de Ticket Heist han creado para los visitantes parece legítima y fomenta la interacción con el sitio y la selección de entradas.
En un informe publicado hoy, los investigadores dicen que el mismo marco de interfaz de usuario está presente en todos los sitios web relacionados con Ticket Heist, con sólo pequeñas variaciones en el contenido y el lenguaje que diferencian entre los sitios web fraudulentos.
Además del diseño de las páginas web, lo que llama la atención en este caso es el precio de los billetes falsos que se ofrecen. QuoIntelligence señala que los precios están inflados en comparación con los precios legítimos.
“Por ejemplo, un evento aleatorio y la ubicación de un asiento en el sitio web oficial podrían costar menos de 100 euros, mientras que las mismas entradas y ubicaciones en sitios fraudulentos se vendieron por un mínimo de 300 euros, alcanzando a menudo los 1.000 euros” – QuoIntelligence
Investigador de amenazas en QuoIntelligence andréi moldavo le dijo a BleepingComputer que, si bien no se ha confirmado, los precios más altos podrían ser parte de una estratagema para hacer creer a las víctimas que están recibiendo un «tratamiento premium» por el dinero extra, ya que las entradas no están disponibles a través de los canales de distribución oficiales.
Alternativamente, un precio más alto también podría hacer que las víctimas crean que se trata de una operación de reventa que se aprovecha de la escasez de billetes.
Mientras intentaban probar sus teorías sobre el propósito de Ticket Heist y recopilar información que pudiera ayudar a descubrir quién estaba detrás de esto, QuoIntelligence intentó realizar una compra en uno de los sitios web fraudulentos.
Descubrieron que todas las transacciones se realizan a través de la plataforma de procesamiento de pagos Stripe y que el dinero solo se transfiere cuando la tarjeta tiene fondos suficientes.
Esto significa que el objetivo del operador no es recopilar información de la tarjeta de crédito, sino robar dinero a la víctima.
Además, esta prueba también reveló el nombre de la empresa VIP Events Team LLC, que se estableció el 26 de noviembre de 2021 y todavía está activa, pero su sitio web nunca ha sido indexado por los motores de búsqueda públicos.
“El dominio se registró el mismo día de creación de la empresa. No se menciona VIP Events Team LLC en Google, las redes sociales, TrustPilot ni ninguna otra fuente OSINT disponible” – QuoIntelligence
Los investigadores dicen que, aunque la empresa parece tener su sede en Nueva York, la sección «contáctenos» de ticket-paris24[.]com dice que la empresa detrás de esto está ubicada en Tbilisi, Georgia.
Al analizar la infraestructura detrás de la Operación Ticket Heist, los investigadores descubrieron que todos los dominios fraudulentos estaban alojados en la misma dirección IP, 179[.]43[.]166[.]54, perteneciente a un proveedor está vinculado a actividades maliciosas de varios servicios.
Aunque cada sitio web tiene un certificado SSL único, QuoIntelligence notó un patrón en la estructura del dominio y en los nombres de subdominio únicos utilizados.
Observaron que los subdominios a menudo incluían jswidget, marco de widgetsO API de widgetslo cual, combinado con registros DNS y archivos JavaScript comunes, les ayudó a descubrir la red completa de 708 dominios.
Cada mes, el actor de amenazas registró un promedio de 20 nuevos dominios, pero en noviembre pasado el número experimentó un aumento significativo con la creación de 50 nuevos dominios.
Actualmente, los servicios de escaneo colaborativos consideran que el 98% de los dominios relacionados con Ticket Heist están libres de malware, lo que respalda la teoría de que el objetivo es robar directamente a las víctimas a través de un servicio de pago legítimo.
El suceso atrae y provoca víctimas
Los Juegos Olímpicos de París no son el único cebo para la Operación Robo de Entradas. Los estafadores también intentaron engañar a sus víctimas con entradas falsas para el Campeonato de Europa de la UEFA de este año.
QuoIntelligence encontró varios sitios web en inglés que ofrecen entradas para el evento de fútbol.
Además, los investigadores descubrieron sitios web involucrados en esta actividad fraudulenta que pretendían vender entradas para conciertos de música de bandas famosas como Twenty One Pilots, Iron Maiden, Metallica, Rammstein y músicos (Bruno Mars, Ludovico Einaudi).
En estos casos, los investigadores dicen que las entradas falsas eran para conciertos en Moscú y otras ciudades rusas importantes.
Aunque estas páginas están en inglés, QuoIntelligence afirma que la mayoría de los sitios web de Ticket Heist estaban sólo en ruso, lo que sugiere que los usuarios de habla rusa eran el principal objetivo de la operación.
Otro indicador que lleva a esta conclusión es la presencia de datos de contacto utilizando los números de teléfono de los servicios móviles rusos.
“Obviamente, esto no es prueba absoluta de que la intención sea atacar a las personas de habla rusa, pero hay muchos indicadores y hallazgos que apuntan en esa dirección”, nos dijo Moldovan.
Ya se han denunciado sitios web fraudulentos que afirman vender entradas para los Juegos Olímpicos de París. La gendarmería nacional francesa prevenido El mes pasado descubrió 338 sitios fraudulentos, muchos de los cuales estaban alojados fuera del país.
En otro informe, la empresa de ciberseguridad Proofpoint alerta de dicho sitio web enviado a través de resultados de motores de búsqueda patrocinados.
En Reddit, un usuario se quejó haber sido víctima de una estafa tras intentar comprar un billete en paris24tickets[.]com.
Aunque QuoIntelligence no pudo verificar cómo se realizó la transacción porque el sitio web ya no está activo, Moldovan afirma que, según los recursos archivados, el sitio web era completamente diferente en términos de infraestructura de alojamiento, configuración de red e interfaz de usuario.
A pesar de estos ejemplos, QuoIntelligence dice que la Operación Robo de Boletos está en curso y no ha sido reportada en búsquedas públicas, lo que demuestra que muchos estafadores están tratando de sacar provecho de los Juegos Olímpicos de este año.
La empresa de inteligencia de amenazas proporciona un conjunto de Indicadores de Compromiso (IoC) para la Operación Robo de Boletos que la comunidad de ciberseguridad puede utilizar para proteger a sus clientes.