Par Assaf Morag, chercheur en cybersécurité
Imaginez qu'une personne recherche un éditeur PDF gratuit. Elle clique sur un lien sur un site web qui semble légitime, est redirigée à travers une série de domaines jetables, et télécharge ce qui paraît être un logiciel légitime. Caché dans le fichier ZIP se trouve un binaire Steam piraté qui charge silencieusement un voleur d'informations. En quelques minutes, toutes les informations d'identification enregistrées dans tous les navigateurs de cette machine, y compris celles de son compte FIFA, sont compilées dans un journal de vol et échangées. Telegram.
Multipliez ce chiffre par les 130 000 journaux contenant des identifiants liés à la FIFA que Flare a identifiés sur une période d'un an (avril 2025-avril 2026), et l'ampleur du problème devient évidente. Il s'agit des dommages collatéraux du vol industrialisé d'identifiants, qui crée une surface d'attaque de plus en plus importante à l'approche de la Coupe du Monde 2026.
À propos de cette série de la Coupe du monde
Les États-Unis, le Canada et le Mexique ont été choisis pour accueillir la Coupe du Monde de la FIFA 2026. Début avril, la liste des 48 équipes qualifiées pour la phase finale était désormais complète.
Comment les acteurs malveillants réagissent-ils ? Qu’est-ce qui se dessine déjà au sein des communautés du dark web et du deep web ?
Ce blog fait partie de Flare. Série sur la cybercriminalité de la Coupe du monde 2026, une série d'articles de recherche ciblés analysant l'évolution des menaces qui pèsent sur le tournoi. Cette série explore des domaines clés, notamment : infrastructure de phishing, fraude et escroqueries, services de streaming illégaux, plateformes de paris illicites, menaces internes et autres activités cybercriminelles visant la Coupe du monde 2026.
Principales conclusions concernant l'exposition aux identifiants liés à la FIFA
- Flare a identifié près de 130 000 journaux de vol d’informations contenant des identifiants liés à la FIFA, avec plus de 2 500 paires email/mot de passe exposées sur les domaines fifa.com et fifa.org. Cette exposition est due à des infections massives et indiscriminées par des voleurs d'informations plutôt qu'à une campagne ciblée contre la FIFA, ce qui signifie que les identifiants sont des dommages collatéraux d'un vol d'identifiants à grande échelle qui emporte tout sur une machine infectée.
- La cybercriminalité perpétrée par les voleurs d'informations est en grande partie opportuniste. Cependant, le volume considérable d'identifiants accumulés crée un risque croissant à l'approche du tournoi, offrant aux acteurs malveillants un vaste choix de comptes à analyser pour trouver des cibles de grande valeur telles que des employés, des partenaires ou des fournisseurs ayant accès aux systèmes internes.
- Les chercheurs de Flare ont retracé en détail la chaîne d'infection complète d'une victime à partir d'un courriel ayant un domaine FIFA, depuis une recherche de piratage jusqu'au vol d'identifiants. Une victime à la recherche d'un éditeur PDF gratuit a été amenée à travers une chaîne de redirection à plusieurs étapes utilisant des domaines .cfd jetables, a atterri sur une fausse page de téléchargement imitant Google Drive et a téléchargé un fichier ZIP contenant une infection HijackLoader (Rugmi) délivrée via le chargement latéral DLL d'un binaire Steam légitime, la charge utile finale étant presque certainement Lumma Stealer.
- La compromission des identifiants FIFA comporte des risques bien plus importants que la simple prise de contrôle d'un compte individuel. Les attaquants ayant accès aux identifiants du personnel ou des partenaires peuvent potentiellement accéder aux systèmes internes, aux plateformes CRM ou aux systèmes de billetterie, ce qui leur permet de manipuler les stocks de billets, de lancer des campagnes d'hameçonnage ciblant les fans ou de se déplacer latéralement vers les plateformes cloud et l'infrastructure opérationnelle liées au tournoi. Un seul terminal compromis devient une surface d'attaque évolutive ayant un impact financier et opérationnel considérable.
Détectez les identifiants exposés avant qu'ils ne soient utilisés à des fins malveillantes.
Flare analyse en permanence les forums clandestins, les places de marché, les chaînes Telegram et les listes de diffusion pour identifier les comptes compromis liés à vos domaines d'entreprise, permettant une remédiation immédiate avant que les identifiants ne soient échangés, réutilisés ou exploités pour des déplacements latéraux.
Exposition aux certifications organisationnelles
Qu’il s’agisse d’une analyse des menaces ou d’un test d’intrusion, la première étape est la phase de découverte. Notre analyse s’est concentrée sur deux domaines détenus et contrôlés par la FIFA depuis 1995 : « @fifa.com » et « @fifa.org ». Ces domaines sont détenus et contrôlés par la FIFA depuis 1995 et enregistrés auprès de CSC Corporate Domains, Inc. La FIFA les utilise en interne pour héberger son site web officiel et créer des comptes de messagerie pour ses employés, prestataires et partenaires.
Nous avons utilisé la fonctionnalité Credential Browser de Flare pour découvrir les ressources exposées (principalement les adresses e-mail et les mots de passe associés) liées à ces domaines.
Ces identifiants proviennent principalement de fuites de données et de listes de mots de passe de tiers. Ils sont ensuite diffusés sur divers forums et groupes de messagerie clandestins, où ils sont partagés ou échangés pour faciliter la cybercriminalité.
Résumé de l'exposition
Pour FIFA.com, nous avons trouvé un total de 1 184 ensembles email/nom d'utilisateur et mot de passe dans Flare.
La fonction de recherche du navigateur d'identifiants de Flare affiche les identifiants exposés
Pour fifa.org, nous avons trouvé un total de 1 184 ensembles email/nom d'utilisateur et mot de passe dans Flare.
La fonction de recherche du navigateur d'identifiants de Flare affiche les identifiants exposés
Que peuvent faire les attaquants avec les journaux de vol de données liés à FIFA ?
bûches de voleur Les identifiants et les données de session des utilisateurs des plateformes liées à la FIFA (telles que fifa.com ou fifa.org) peuvent être extrêmement précieux pour les attaquants.
Ce risque s'aggrave selon plusieurs dimensions :
- Accès direct au compte : Grâce à l'accès aux sessions authentifiées, les attaquants peuvent contourner les protections de connexion et accéder directement aux comptes des utilisateurs, ce qui leur permet de commettre des actes tels que le vol de billets ou la revente frauduleuse avant des événements à forte demande comme la Coupe du monde.
- Compromission du système interne : Si des identifiants compromis appartiennent à des employés, des partenaires ou des fournisseurs, des attaquants peuvent accéder aux systèmes internes, aux plateformes CRM ou aux systèmes de billetterie. Cela ouvre la voie à une fuite de données plus importante, à la manipulation des stocks de billets ou à un accès non autorisé aux systèmes opérationnels. Par conséquent, identifier les identifiants FIFA de haut niveau est une priorité absolue pour les acteurs malveillants avant les grands événements.
- Mouvement latéral: Les attaquants peuvent réutiliser les identifiants sur différents services (authentification unique, messagerie, plateformes cloud) pour s'infiltrer plus profondément dans les environnements organisationnels et potentiellement accéder à des données sensibles telles que des documents financiers, des informations logistiques ou des plans de sécurité. Dans le cadre d'un événement mondial, cela pourrait dégénérer en perturbations ciblées, en manipulation de la billetterie, en campagnes d'hameçonnage contre les fans, voire en atteintes à l'infrastructure de l'événement.
En définitive, les données volées par les voleurs d'informations transforment un simple terminal compromis en une surface d'attaque évolutive ayant un impact à la fois financier et opérationnel.
Analyse des données du voleur d'informations
Les voleurs d'informations sont devenus l'une des menaces les plus importantes et les plus évolutives de la cybercriminalité moderne.
Des familles de logiciels malveillants comme RedLine Stealer, LummaC2 et Vidar collectent discrètement les identifiants, les cookies de session, les données de remplissage automatique, les portefeuilles de cryptomonnaies et les empreintes digitales du système des machines infectées, puis les exfiltrent dans des journaux structurés qui sont échangés sur des marchés clandestins et des canaux Telegram.
Une seule infection peut exposer des dizaines de comptes professionnels et personnels, tandis que des millions de ces journaux sont continuellement recyclés, revendus et utilisés à des fins malveillantes par courtiers en accès initial et les acteurs malveillants. Les voleurs d'informations abolissent efficacement la frontière entre les environnements domestiques et professionnels, transformant les terminaux compromis en points d'entrée pour les Rançongicielss et les violations de données.
En utilisant Flare pour analyser l'activité des voleurs d'informations au cours de l'année écoulée, nous avons identifié près de 130 000 journaux contenant au moins un enregistrement associé aux domaines fifa.com ou fifa.org.
La tendance des infections reste relativement stable au fil du temps, confirmant une observation essentielle : la cybercriminalité liée au vol d’informations est principalement opportuniste et non liée à des campagnes spécifiques. Autrement dit, malgré l’attention mondiale accrue portée à la FIFA et à la Coupe du Monde 2026, rien n’indique clairement l’existence d’une campagne ciblée ou coordonnée visant spécifiquement les utilisateurs de FIFA. Ces identifiants sont plutôt récupérés dans le cadre d’infections massives et indiscriminées.
Recherche de journaux de voleurs liés à FIFA avec Flare
Distribution de la famille Infostealer
Nous avons extrait un échantillon de commodité via l'API de Flare : les 10 derniers jours pour le domaine fifa.com (727 utilisateurs distincts) et une requête sur 60 jours pour le domaine fifa.org (10 utilisateurs distincts). Comme prévu, les logiciels espions Lumma et Vidar dominent l'ensemble de données, ce qui correspond à leur position actuelle sur le marché.
Répartition des familles de voleurs d'informations dans notre ensemble de données
Ce que les voleurs d'informations collectent
Les données des voleurs d'informations indexées sur Flare contiennent des informations détaillées sur chaque machine infectée.
Données concernant une machine infectée par un voleur d'informations (Flare lien vers la publication, inscrivez-vous à essai gratuit (pour y accéder si vous n'êtes pas déjà client)
Fichiers machine infectés par Infostealer
- Données de remplissage automatique : Tout ce qui provient de la base de données de remplissage automatique du navigateur, y compris les cartes de crédit, les adresses e-mail, les mots de passe, les identifiants et autres données de formulaire que le navigateur remplit automatiquement.
- Témoins Les sites web conservent les données de session pour permettre un accès persistant. Quiconque détient ces données peut accéder aux sites web sur lesquels la victime est actuellement connectée.
- Comptes Google : Informations de compte associées au profil Google de la victime.
- Historique de navigation: Historique complet, y compris les URL pouvant contenir des informations de connexion (par exemple, https://user:[email protected]).
- Jetons logiciels : Informations d'authentification et de mot de passe pour les applications de bureau telles que WhatsApp, Discord et Telegram.
- Listes agrégées analysées : Domaines, identifiants et mots de passe uniques extraits et organisés pour faciliter leur utilisation par d'autres acteurs malveillants.
Reconstitution du parcours d'infection d'une victime réelle
Les données collectées par Flare incluent des informations sur le chemin d'exécution du fichier malveillant, révélant ainsi comment la victime a été infectée. Nous pouvons donc en apprendre davantage sur le logiciel malveillant. L'analyse de notre ensemble de données a montré que la majorité des échantillons s'exécutaient sur des machines Windows. Nous avons sélectionné un exemple récent et illustratif pour retracer la séquence d'infection :
C:\Utilisateurs\< >\Téléchargements\pdf-xchange_editor_plus_(2026)_full_espa√±ol_[mega].exe
Étape 1 : La recherche
La victime a recherché une version gratuite de PDF-XChange Editor Plus.
Tous les premiers résultats menaient à des téléchargements malveillants. Chaque lien redirigeait vers un site de partage de logiciels volés ou piratés. La plupart de ces sites sont illégaux, car ils proposent gratuitement des logiciels payants comme PDF-XChange Editor Plus (ce qui indique qu'il s'agit de versions piratées ou modifiées). Des noms de sites comme « artistapirata » font ouvertement la promotion du piratage.
Page contenant un lien de téléchargement illégal pour le logiciel piraté
Cliquer sur le lien de téléchargement a déclenché une série de redirections intermédiaires :
La première redirection était : https[:]//href.li/?https[:]//wikifilhost78.it[.]com/?data=…
Cette URL utilise un redirecteur public (href.li) combiné à un faux domaine d'hébergement de fichiers et inclut du code PHP intégré qui génère des valeurs aléatoires par requête, probablement pour échapper à la détection et compliquer le suivi.
Voici la deuxième redirection : https[:]//getcdn82[.]host93s[.]cfd/?tag=u7tY5vH4
Cette page sert de redirection éphémère « Téléchargement… », utilisant plusieurs méthodes de redirection forcée pour rediriger immédiatement les utilisateurs vers un autre domaine .cfd généré dynamiquement. Ce type de comportement est fréquemment observé dans les chaînes de diffusion de logiciels malveillants ou d'hameçonnage.
La troisième redirection était : https[:]//generate907a38[.]host93s[.]cfd/?data=…
Un autre redirecteur léger forçant la navigation vers un domaine généré dynamiquement avec des paramètres encodés, renforçant le modèle d'obfuscation en plusieurs étapes utilisé pour dissimuler la véritable charge utile.
Les deux domaines de cette chaîne de redirection ont été enregistrés récemment, ce qui indique que l'infrastructure est très bien maintenue et instable.
Le cycle opérationnel se déroule comme suit : les publicités de piratage pointent vers un lien de redirection hautement configurable. Au fil du temps, les URL sont signalées comme malveillantes et de nouveaux domaines les remplacent. De nouvelles victimes cliquent sur ces publicités, sont redirigées et infectées ; les liens sont finalement signalés et le cycle se répète.
Vous pouvez constater ci-dessous que, même si ce domaine est relativement récent, il est déjà signalé comme malveillant par VirusTotal en raison d'un lien avec le phishing.
Détections VirusTotal pour le domaine cloud01y.cfd
Le serveur génère dynamiquement un nouveau sous-domaine aléatoire pour chaque requête afin de diffuser le logiciel malveillant.
Liste (partielle) des sous-domaines de notre domaine selon VirusTotal
Les nouveaux domaines enregistrés étaient :
Informations d'enregistrement Whois host93s.cfd
Informations d'enregistrement Whois cloud01y.cfd
Le domaine .cfd est peu coûteux et relativement récent, sans notoriété établie. Facile à enregistrer et éphémère, il est fréquemment utilisé pour des sites web éphémères ou de faible réputation. Bien que tous les sites en .cfd ne soient pas malveillants, ils présentent généralement un risque plus élevé que les domaines établis.
Il est possible que le domaine cloud01y soit un nom de domaine similaire à Cloudly, qui regroupe plusieurs sociétés de logiciels légitimes et un projet open source.
Étape 3 : La fausse page de téléchargement
Ci-dessous se trouve la dernière page de redirection, qui permet de télécharger un fichier.
Le site de téléchargement
La dernière page de la chaîne de redirection présente une fausse interface de téléchargement conçue pour ressembler à un service de stockage cloud légitime (« Google Drive »). Le véritable lien de téléchargement est dissimulé dans le code (data-url="https[:]//edge2[.]filehost74[.]sbs/…"), tandis que la page visible affiche des messages de confiance génériques tels que « Analyse antivirus effectuée » et « Transfert sécurisé », sans aucune fonctionnalité réelle. Le bouton « Copier le lien » est trompeur, car il déclenche le même processus de téléchargement au lieu de copier un fichier. Ces pages affichent en alternance les logos et les noms de services de partage de fichiers populaires comme Google Drive et Dropbox.
La page intègre également des mécanismes anti-analyse basiques. Un script vérifie en permanence si les outils de développement sont ouverts et, le cas échéant, efface le contenu de la page (document.documentElement.innerHTML = ""), ce qui explique pourquoi tout disparaît lors de l'inspection. Des protections supplémentaires (désactivation du clic droit et de la sélection de texte) suggèrent que la page est conçue pour empêcher l'analyse plutôt que pour améliorer l'expérience utilisateur.
Étape 4 : La charge utile
Nous avons téléchargé et extrait le fichier .zip compressé.
L'arborescence de répertoires décompressée du fichier .zip
Nous avons analysé tous les fichiers du répertoire corrompu. La plupart étaient inoffensifs. Cependant, nous avons découvert une chaîne d'infection HijackLoader (également connue sous les noms de Rugmi ou IDAT Loader) diffusée par le biais d'un faux logiciel piraté.
L'attaque utilise le détournement de l'ordre de recherche des DLL : un binaire Valve Steam légitime et signé est renommé et regroupé avec un fichier SDL3.dll infecté par un cheval de Troie qui implémente le logiciel malveillant HijackLoader.
Lorsque la victime exécute le faux fichier binaire Steam, Windows charge automatiquement le fichier malveillant SDL3.dll depuis le même répertoire. Ce programme lit une charge utile PE chiffrée depuis un fichier de configuration dissimulé (mesh.conf) à l'aide d'une clé de 1 002 octets située dans asset32.tmp, la déchiffre en mémoire et exécute la seconde étape par réflexion. D'après le contexte de distribution et les indicateurs comportementaux, la charge utile finale est très probablement Lumma Stealer.
Deux des cinq fichiers ont été détectés par un antivirus sur VirusTotal (Rising AV) :
| Fichier | MD5 | Détection |
| SDL3.dll | 9af16f9fc35ce00688c20318e868664a | Téléchargeur.Rugmi/x64!1.134BF |
| mesh.conf | 9eecf800853672a56fc46d26b6fa5bb1 | Trojan.HijackLoader!1.12810 |
Ce même chargeur est mentionné dans les médias sous trois noms différents : IDAT Loader, HijackLoader et Rugmi. Il s’agit d’un chargeur privé vendu sur des forums clandestins de cybercriminalité. Différents acteurs malveillants en achètent l’accès et configurent leur propre charge utile et leur système de commande et de contrôle (C2).
Informations sur le chargeur Rugmi de Flare (Flare (Lien vers l'article ; inscrivez-vous à l'essai gratuit pour y accéder si vous n'êtes pas déjà client.)
Dans ce cas précis, le vecteur de distribution était un faux forum de logiciels piratés. Parmi les autres méthodes de distribution courantes pour ce programme d'installation, on peut citer :
- Faux logiciels piratés / cracks de jeux sur les sites de torrents et les forums warez
- Publicité malveillante via des annonces Google ou Bing pour des logiciels piratés
- Faux tutoriels YouTube avec des liens de téléchargement malveillants dans les descriptions
- Chaînes Telegram distribuant des astuces et des mods de jeux « gratuits »
- Les attaques ClickFix sont une attaque d'ingénierie sociale où une fausse erreur ou un CAPTCHA trompe les utilisateurs pour qu'ils exécutent des commandes sur leur propre appareil, exécutant ainsi eux-mêmes des logiciels malveillants (elles contournent les défenses traditionnelles en s'appuyant sur les actions de l'utilisateur au lieu d'exploiter les vulnérabilités du logiciel).
Voici la chaîne de transmission :
La chaîne d'infection du voleur d'informations
Cartographie MITRE ATT&CK
| Technique | ID | Description |
|---|---|---|
| Compromis de la chaîne d'approvisionnement : logiciel de compromis chaîne d'approvisionnement | T1195.002 | Il existe une corrélation entre le phishing, les attaques par compromission furtive et le SSC. Ce site web propose des logiciels piratés et y intègre des logiciels malveillants. |
| Exécution utilisateur : fichier malveillant | T1204.002 | La victime court GgPIgyXGx.exe |
| Chargement latéral de DLL | T1574.002 | SDL3.dll chargé par un binaire Steam légitime depuis le même répertoire |
| Fichiers obscurcis : stéganographie | T1027.003 | PE de deuxième étape caché dans les blocs IDAT PNG dans mesh.conf |
| Fichiers obfusqués : Encodage | T1027 | Clé brouillée (asset32.tmp) et configuration C2 (mesh.conf en-tête) |
| Chargement de code réfléchissant | T1620 | Chargement PE en mémoire — aucune écriture sur disque de la charge utile déchiffrée |
| Mascarade | T1036 | steam.exe renommé avec un nom de fichier aléatoire GgPIgyXGx.exe |
| Retrait de l'indicateur | T1070 | Aucune persistance du registre ; la charge utile n'a jamais été écrite sur le disque |
| Fichiers obfusqués : Hachage API | T1027.007 | GetProcAddress par hachage, graine personnalisée 0x0BB7A699 |
| Informations d'identification des navigateurs Web | T1555.003 | Cible prévue pour Lumma Stealer (gestionnaires de mots de passe des navigateurs) |
| Données du Presse-papiers | T1115 | Cible typique de la collection Lumma Stealer |
| Exfiltration via le canal C2 | T1041 | Le voleur exfiltre des données via un C2 codé dans mesh.conf en-tête de configuration |
Prendre au sérieux les logiciels malveillants voleurs d'informations grâce à une visibilité proactive
L'analyse de Flare révèle une exposition constante et largement opportuniste des identifiants liés aux domaines de la FIFA, principalement due à des infections généralisées par des logiciels espions plutôt qu'à une campagne ciblée et coordonnée. Il ne faut cependant pas en conclure que le risque est faible.
L'agrégation de centaines d'identifiants et de près de 130 000 journaux de vol d'informations (sur une période de 10 jours) crée un terrain fertile pour que les acteurs malveillants identifient les comptes à forte valeur ajoutée, réutilisent l'accès à différents services et puissent potentiellement s'infiltrer dans des environnements sensibles.
À l'approche de la Coupe du monde, le risque ne réside pas seulement dans la compromission isolée d'un compte, mais aussi dans l'effet cumulatif de l'échelle, où les identifiants volés, les jetons de session et les données d'appareils peuvent être utilisés à des fins de fraude, d'hameçonnage, de déplacement latéral, voire de perturbation des opérations liées à l'événement.
Dans un contexte où identités personnelles et organisationnelles sont étroitement liées, les voleurs d'informations transforment les infections quotidiennes en points d'appui stratégiques. Pour les organisations impliquées dans des événements mondiaux comme la FIFA, la visibilité proactive des données exposées n'est plus une option, mais un élément de défense essentiel.
Détectez les identifiants exposés avant qu'ils ne soient utilisés à des fins malveillantes.
Flare analyse en permanence les forums clandestins, les places de marché, les chaînes Telegram et les listes de diffusion pour identifier les comptes compromis liés à vos domaines d'entreprise, permettant une remédiation immédiate avant que les identifiants ne soient échangés, réutilisés ou exploités pour des déplacements latéraux.
