Executive Summary

Imagine, you have been waiting for this one match. CSK vs RCB - the biggest rivalry in Indian cricket. You've ordered your jersey, and told everyone at work you're unavailable. But when ticket sales opened, they sold out in minutes. 

You slump onto your couch, scrolling through Instagram Reels in quiet disappointment - when suddenly, a reel appears. A page offering tickets at a discounted price, "limited slots available". The account looks legitimate. Thousands of followers. A highlight reel of happy customers. You tap the link in the bio. 

The website loads cleanly. It has the right logos, the right colors, a professional layout. You fill in your details, make a quick UPI payment, and within minutes, a PDF ticket lands in your inbox. You screenshot it, send it to the group chat, and head to the stadium buzzing with excitement. The queue moves. You reach the gate. The scanner beeps - and the guard shakes his head.

"Sir, yeh ticket fake hai."

You've been scammed. The money is gone. The match goes on without you.

This is not a one-off story. This is happening at scale every IPL season - across fraud verticals that collectively defraud tens of thousands of Indians every season. 

This blog is CloudSEK's attempt to pull back the curtain. We'll walk you through the most active cyber threats dominating this IPL season - from convincingly fake ticketing websites that leave fans stranded at the gates, to malicious “free streaming” traps that silently compromise devices.

Key Findings

• Over 600 fraudulent domains were identified, scamming fans with convincingly fake IPL tickets.
• More than 400 fake “free streaming” sites were uncovered, many operating as active malware delivery channels distributing infostealers designed to steal passwords, drain crypto wallets, backdoor applications, and deploy persistent remote access on victim devices.
• Unofficial streaming sites now reach victims through AI-generated search overviews due to community recommendations extending their spread well beyond traditional search results.
• Admin panel access to sites selling fake tickets exposed a structured backend with real-time booking data, manual payment verification, dynamic pricing controls, and one-click generation of fake tickets - along with systematic collection and storage of victim data.

Threat Landscape Overview 

The Indian Premier League isn’t just a cricket tournament - it’s a high-velocity digital economy. With over 600 million viewers, sold-out stadiums, and billions of rupees moving in a compressed nine-to-ten-week window, it creates a rare convergence of scale, urgency, and emotion. This combination of mass attention, emotional investment, and financial activity makes it one of the most exploited events in India's cybercrime calendar.

What makes the IPL especially attractive is user behaviour. Fans are time-sensitive (tickets sell out in minutes), emotionally invested (loyalty to teams and players), and often willing to take risks - whether it’s chasing last-minute tickets or looking for free streams. Attackers design their campaigns precisely around these triggers.

The fraud ecosystem does not wait for the tournament to begin. Domains get registered, social media pages get seeded, and Telegram channels start building their audiences even before the first ball is bowled. By opening day, the operation is already at full scale. 

As the tournament progresses, so does the intensity of these operations. Big matches, rivalries, playoffs, - attackers mirror them with targeted campaigns, flash scams, and higher volumes of outreach through ads, SMS, and social platforms. The infrastructure behind these scams - payment channels, mule accounts, SEO networks, and malware distribution - operates continuously in the background, adapting in real time.

By the time the final concludes, the ecosystem doesn’t collapse - it simply goes dormant. Channels go quiet, domains are abandoned or repurposed, and operators cash out and regroup. Then, as the next IPL season approaches, the cycle begins again - faster, more refined, and harder to detect.

Threat #1 - Fake IPL Ticket Booking Networks

CloudSEK researchers identified multiple fake domains actively claiming to sell IPL tickets this season. These sites do not look like scams at first glance. They impersonate legitimate ticketing platforms by lifting logos, color schemes, and UI layouts directly from trusted brands like BookMyShow and District, creating an experience familiar enough to disarm suspicion.

‍

On top of that, they layer in elements designed to manufacture urgency and FOMO - countdown timers ticking toward a "sale end" deadline, banners reading "Only 3 seats left at this price".

‍

‍

These domains are then pushed in front of potential victims through multiple channels. Reels and posts on Instagram and Facebook create organic reach, while Meta Ads allow operators to pay for targeted placement in front of cricket fans. 

On the search engine side, these sites are optimized for high-intent keywords - terms like "Ticket Booking - IPL Match" and "IPL 2026 Tickets" - designed to get them indexed on Google and appear alongside, or even above, legitimate results.

The flow from there is straightforward. Once a victim lands on the site and clicks to book a ticket, they are prompted to select their seat and enter their personal details - name, phone number, email. After that comes the payment step, where victims are asked to pay via UPI, card, QR code or payment gateways. 

Once the payment goes through, the victim receives a confirmation email with a PDF ticket attached. The document looks convincing - it carries the right branding, seat details, and what appears to be a valid barcode or QR code. But the booking numbers are fabricated and the QR codes would not scan at any legitimate venue entry point. The first time the victim finds out is at the stadium gate.

Sample Set of Fake Domains

Listed below are a few from the many fake domains identified by CloudSEK, impersonating legitimate ticketing brands and promoting the sale of fake IPL match tickets, registered between March - April 2026.

Behind The Scenes - Admin Panel Access

CloudSEK researchers were able to access the admin panel of one of these fake domains. This panel is likely associated with multiple other fake IPL ticket selling domains spawned from the same phishing kit - a ready-made fraud infrastructure that can be deployed repeatedly with minimal effort.

With admin access, the backend process stood completely exposed. What we found was not a rudimentary setup - it was a fully functional operations dashboard with real-time order management, victim data tables, a ticket price manager, UPI and bank account details of the TA, and a dedicated matches management module.

‍

The panel displayed live bookings in real time, with options to confirm, reject, delete or mail each order. The mail option, when triggered, automatically sends the fake PDF ticket to the victim's email address. This step is done manually by the operator, post verification of payment, to ensure the money has actually landed before the ticket is dispatched.

The booking data collected through these sites also exposes potential victim data - names, phone numbers, email addresses - which is generally stored by these threat actors and then further sold as leads to other scam operations, making the victim vulnerable to a second wave of fraud.

Further the ticket price manager module allows operators to modify prices on the fly. This gives them the flexibility to increase prices during high-demand fixtures and drop them for less sought-after matches to keep the orders flowing. 

‍

We also identified the presence of Meta Pixel integration within the panel. Meta Pixel is a tracking tool that monitors visitor actions on a website - clicks, form fills, payment completions. 

‍

The conversions tracked through this pixel feed directly into Facebook Ads Manager and Facebook Events Manager, giving the operators visibility into which ad campaigns are driving the most victims, which creatives are converting, and what their return on ad spend looks like. This helps them to run optimised, data-driven fraud campaigns.

‍

Besides fake websites, such scams also operate heavily across platforms like Facebook, Instagram, and Telegram. These operations are run through accounts with artificially inflated follower counts, faceless Telegram groups, and Facebook groups that lend a false sense of scale and credibility.

Victims are drawn in through posts and reels promising tickets in black - at a premium, but guaranteed. What follows is a familiar pattern of false assurances, payment requests, and disappearing operators. Most of the time, victims do not receive anything except false hopes. 

‍

‍

Threat #2 - Fake IPL Live Streaming Sites & Malware Delivery

Not every IPL scam asks you for money directly. Some just need you to click.

Every season, millions of cricket fans who cannot afford or access official streaming subscriptions turn to free streaming sites. This is not a niche behaviour - it is widespread, and threat actors have built an entire malware delivery pipeline around it. 

CloudSEK identified multiple sites claiming to offer free IPL live streams, optimised for high-intent search keywords, and propagated across Reddit, Telegram, and Facebook. What these sites actually deliver is not a cricket stream. It is a multi-stage malware infection chain that can silently drain your crypto wallets, steal your passwords, backdoor your applications, and install a persistent remote access implant - all while you are waiting for the match to buffer.

How Victims Find These Sites

These sites do not wait for victims to stumble upon them. They are actively pushed.

On the SEO front, these sites are optimised for high-intent keywords - terms like "IPL 2026 free live stream," "watch IPL online free," "DC vs RCB live streaming" - designed to rank on Google alongside or above legitimate results. The metadata of one site CloudSEK analysed contained dozens of keyword-stuffed entries covering every IPL fixture, every competing tournament, and every possible search variation a cricket fan might type.

Beyond search, these sites are propagated through Reddit threads in cricket subreddits, Telegram channels, and Facebook groups - posted as helpful "free stream" links by accounts that exist solely for this purpose. 

What makes this propagation particularly effective in 2026 is how it now extends beyond traditional search results. When users search for streaming options on search engines, AI-generated overviews and community-sourced recommendations increasingly surface these sites as viable options. 

During our research, a simple Google search for "free ipl unofficial streaming sites" returned an AI Mode summary that directly cited go.webcric.com and similar platforms as frequently recommended options across subreddits.

What Happens When You Land On The Site

The site itself looks functional. It has match listings, team logos, quality options - Low, Medium, High, HD - and a legitimate-looking navigation bar. But it is heavily monetised with multiple layers of pop-unders, redirects, and tracking scripts that intentionally hijack user navigation.

The moment you click anything - a "LIVE STREAM" button, a link, even the logo - JavaScript event listeners from the ad scripts intercept the click, prevent normal link behaviour, and force redirects in new tabs. This starts a redirect chain through several shady ad broker domains, designed to maximise ad impressions and deliver high-value payloads.

‍

‍

Embedded in the site's source code is a User Agent detection script that identifies your operating system, browser, and device. The ad network reads this and routes you to an OS-appropriate advertisement. During our testing, we identified that Mac users get routed toward macOS-targeted malware. Windows users may receive a different chain entirely. This is what makes it particularly dangerous - it does not just remain an ad network, it becomes an OS-aware targeted distribution network.

The ClickFix Lure

While analysing these redirects, CloudSEK researchers identified that Mac OS users were mostly getting redirected to ClickFix style pages. One such redirect chain ended at a page impersonating a legitimate GitHub application installer or an Apple macOS security update page, depending on the campaign variant. The page provides detailed instructions to the victim to open the Terminal and paste the command to complete the installation. 

‍

‍

‍

The command provided to the victim is :  

The first line of the command echoes a fake Apple support URL to the terminal - pure social engineering to establish trust. The second line is the actual payload. After the user executes the provided Terminal command, a loader script is retrieved from the C2 and piped directly to zsh for execution.

الحمولة التي تم استردادها ليست أداة تحميل المعلومات النهائية، بل هي أداة تحميل المرحلة الثانية المشفرة بـ Base64 والمضغوطة بـ GZIP. والغرض الوحيد منه هو التحقق من الشروط اللازمة على النظام، وتنزيل حمولة infostealer الأساسية الفعلية وتنفيذها.

يكشف فك تشفير هذه الحمولة الغامضة عن نص برمجي مصمم للتنفيذ الصامت في الخلفية على نظام الضحية.

‍

أول شيء يقوم به برنامج التحميل هو أخذ بصمات النظام من خلال جمع اسم المضيف وإصدار macOS وعنوان IP الخارجي ومعلومات تخطيط لوحة المفاتيح. ثم يتحقق مما إذا كان النظام المصاب يستخدم تخطيط لوحة مفاتيح روسية (تقنية سياج جغرافي شائعة في رابطة الدول المستقلة).

في حالة اكتشاف لوحة مفاتيح روسية، يرسل البرنامج النصي حدث القياس عن بُعد «cis_blocked» إلى خادم الأوامر والتحكم وينتهي فورًا لتجنب إصابة المستخدمين في روسيا أو بلدان رابطة الدول المستقلة.

في حالة عدم وجود لوحة مفاتيح روسية، يرسل المُحمل حدث القياس عن بُعد «loader_requested» ويستمر في تحقيق هدفه الرئيسي. يقوم بتنزيل الحمولة النهائية بصمت - برنامج AppleScript ضار كبير باستخدام متصفح مخادع User-Agent.

يتم تنفيذ AppleScript الذي تم تنزيله مباشرة في الذاكرة عبر الخلفية، مع إعادة توجيه جميع تدفقات المدخلات والمخرجات والأخطاء القياسية إلى /dev/null لضمان التخفي.

تمكن باحثو CloudSek من استرداد حمولة AppleScript وتحليلها. إنه أداة كشف معلومات macOS كاملة الميزات تسمى Shub Stealer، مع إمكانات واسعة النطاق لسرقة البيانات، والتسلل، والإغلاق الخلفي للمحفظة، والإمكانات المستمرة.

تشمل قدراته:

التخفي ومكافحة التحليل - يبدأ البرنامج النصي بقتل تطبيق Terminal لتقليل شكوك المستخدم. يقوم بإنشاء دليل مؤقت عشوائي (/tmp/shub_/) لتخزين البيانات المسروقة ويستخدم التسجيل الداخلي الشامل لعملياته الخاصة مع إبقاء معظم الأنشطة مخفية عن المستخدم.

بصمة النظام والقياس عن بُعد - يجمع السارق معلومات النظام التفصيلية بما في ذلك اسم المستخدم واسم المضيف وإصدار macOS وعنوان IP الخارجي وتخطيط لوحة المفاتيح. يقوم بإجراء فحص CIS عن طريق الكشف عن تخطيطات لوحة المفاتيح الروسية. إذا تم العثور على لوحة مفاتيح روسية، فإنها ترسل حدثًا للقياس عن بُعد وتحد من النشاط الإضافي. وبخلاف ذلك، فإنها ترسل العديد من أحداث القياس عن بُعد (payload_started، password_gateved، data_collected، zip_sent، إلخ) إلى مركز القيادة والتحكم.

سرقة بيانات الاعتماد - تحاول البرامج الضارة سرقة كلمة مرور تسجيل الدخول إلى macOS. يعرض مربع حوار «تفضيلات النظام» المزيف (مع LockeDicon الرسمي) حتى 10 مرات، ويطلب من المستخدم إدخال كلمة المرور الخاصة به. كما يحاول استخراج كلمة مرور Chrome الرئيسية.

سرقة بيانات المتصفح - يستهدف السارق العديد من المتصفحات القائمة على الكروم (كروم، بريف، إيدج، أوبرا، فيفالدي، آرك، سايدكيك، أوريون، إلخ) وفايرفوكس. يقوم بنسخ الملفات الحساسة مثل بيانات تسجيل الدخول وملفات تعريف الارتباط وبيانات الويب والتاريخ وبيانات الإضافة.

سرقة محفظة العملات المشفرة - يركز ShuB Stealer بشدة على سرقة العملات المشفرة. فهو يسرق البيانات من أكثر من 100 ملحق لمحفظة المتصفح عن طريق مسح عمليات المسح بحثًا عن معرفات إضافات محددة تتوافق مع محافظ العملات المشفرة. كما أنه يستهدف محافظ سطح المكتب بما في ذلك إكسودوس، وأتوميك، وإلكروم، وغواردا، وكوينومي، وسبارو، وواسابي، وبيتكوين كور، ومونيرو، وليدجر لايف، وتريزور سويت.

المراسلة والسرقة السحابية - يسرق البرنامج النصي أيضًا جلسة Telegram Desktop الكاملة. يقوم أيضًا بمسح دليل Keychain بالكامل وحسابات iCloud.

أداة انتزاع الملفات والمستندات - يقوم ملتقط الملفات المحدود بجمع المستندات (.docx و.doc و.wallet و.key و.json و.rdp وما إلى ذلك) وصور PNG من مجلدي سطح المكتب والمستندات، بحد إجمالي للحجم يبلغ حوالي 150 ميغابايت. كما أنه يسرق ملفات تعريف الارتباط الخاصة بـ Safari والمحفوظات وبيانات الملء التلقائي وقاعدة بيانات Apple Notes.

تغليف البيانات والترشيح - يتم حفظ جميع البيانات المسروقة ضمن المجلد المؤقت العشوائي. يقوم البرنامج النصي بإنشاء أرشيف مضغوط. بالنسبة للمجموعات الكبيرة، يتم تنفيذ التحميل المقسم (التقسيم إلى أجزاء بحجم 70 ميغابايت تقريبًا). يتم تحميل الأرشيف إلى C2 جنبًا إلى جنب مع البيانات الوصفية بما في ذلك كلمة المرور المسروقة (إذا تم الحصول عليها).

حقن المحفظة - إذا تم تثبيت تطبيقات المحفظة الشائعة (Ledger Live و Ledger Wallet و Atomic Wallet و Exodus و Trezor Suite)، فإن البرامج الضارة تحل محل ملف app.asar الشرعي عن طريق حقن شفرة ضارة مصممة لإخراج عبارات بذور المحفظة. نظرًا لأن العبارات الأولية تعمل كمفتاح رئيسي لمحافظ العملات المشفرة، فإن امتلاكها يسمح للمهاجم بإعادة بناء المحفظة بالكامل واستنزاف جميع الأموال المرتبطة بها. للحفاظ على مظهر الشرعية، يقوم المهاجم أيضًا بتعديل ملف Info.plist للحفاظ على تكامل المجموع الاختباري.

آلية الثبات - تعمل البرامج الضارة على إثبات الثبات من خلال إنشاء تطبيق Google Update مزيف وتثبيت LaunchAgent (com.google.keystone.agent.plist). تعمل هذه الخدمة كل 60 ثانية، وتجمع معلومات النظام الأساسية بما في ذلك UUID للجهاز واسم المضيف وعنوان IP وإصدار macOS. ثم يرسل طلب نبضات القلب إلى C2. في حالة استجابة خادم C2 باستخدام أمر مشفر باستخدام base64، يقوم البرنامج النصي بفك تشفيره وحفظه كـ /tmp/.c.sh وتنفيذه وتنظيف الملف.

الإجراءات النهائية والتنظيف - بعد تحميل البيانات المسروقة، يعرض البرنامج النصي مربع حوار خطأ مزيف ينص على أن «جهاز Mac الخاص بك لا يدعم هذا التطبيق...» ويقوم بالتنظيف الأساسي للملفات المؤقتة، على الرغم من أن آلية الاستمرار تظل نشطة.

يوضح لنا هذا كيف أن مواقع البث المباشر المجانية لـ IPL ليست مجرد مشكلة تتعلق بحقوق النشر - بل يمكن أن تصبح قناة توزيع برامج ضارة نشطة. ما يبدو أنه اختصار غير ضار لمشاهدة المباراة تبين أنه فخ مصمم بعناية، حيث تؤدي نقرة واحدة إلى إطلاق سلسلة إعادة توجيه تنتهي بكلمات المرور والمحافظ وجلسات المتصفح والأصول المشفرة التي يتم تسليمها بصمت إلى المهاجم - مع ترك باب خلفي مفتوحًا لأي شيء يأتي بعد ذلك.

التأثير

• الخسائر المالية المباشرة: يخسر الضحايا أموالهم من خلال شراء التذاكر المزيفة والمدفوعات للمحتالين - غالبًا عبر UPI دون أي وسيلة لاسترداد الأموال.

• سرقة البيانات الشخصية الحساسة: المعلومات الشخصية التي يتم جمعها أثناء الحجوزات المزيفة - الأسماء وأرقام الهواتف ومعرفات البريد الإلكتروني يتم تخزينها أو إعادة استخدامها أو بيعها لعمليات احتيال أخرى، مما يعرض الضحايا لمزيد من الهجمات.

• اختراق الأجهزة والإصابات بالبرامج الضارة: يمكن أن يؤدي النقر فوق روابط البث المزيفة إلى اختراق الجهاز بالكامل، بما في ذلك السرقة الصامتة لكلمات المرور وبيانات الاعتماد المصرفية وجلسات المتصفح ومحافظ العملات المشفرة مع ترك باب خلفي دائم يعمل في الخلفية.

• الاستهداف الثانوي والإيذاء المتكرر: بمجرد تحديد الأفراد كضحية مدفوعة، تتم إضافة الأفراد إلى قوائم الاحتيال ويتم استهدافهم بشكل متكرر عبر حملات الاحتيال المختلفة، بما في ذلك مكالمات التصيد الاحتيالي

• استنزاف الأصول المشفرة: يواجه الضحايا الذين يمتلكون محافظ تشفير على سطح المكتب أو المتصفح خسارة مالية كاملة من خلال هجمات حقن المحفظة التي تحل محل التطبيقات الشرعية بإصدارات خلفية مصممة للتخلص من العبارات الأولية

• ضائقة نفسية وعاطفية: إن خسارة المال في لحظة من الإثارة، والوصول إلى الملعب فقط ليتم إبعاده جنبًا إلى جنب مع انتهاك اختراق الجهاز، يسبب قلقًا وضيقًا كبيرًا.

• تآكل الثقة في المنصات الرقمية: يؤدي التعرض المتكرر للمنتجات المزيفة المقنعة إلى تقويض ثقة المعجبين في منصات التذاكر الشرعية وأنظمة الدفع الرقمية، مما يؤثر على التبني الرقمي على نطاق أوسع.

• تطبيع النظم البيئية للجرائم الإلكترونية: يعمل النطاق والتطور والعواقب شبه الصفرية على المشغلين على تطبيع البنية التحتية للاحتيال مما يجعل كل موسم متتالي من IPL بيئة تهديدات أكثر دقة ويصعب اكتشافها.

‍

‍

إجراءات الحماية

• شراء التذاكر فقط من المنصات الرسمية: تجنب روابط الجهات الخارجية من وسائل التواصل الاجتماعي أو الإعلانات أو مواقع الويب غير المعروفة - حتى إذا كانت تبدو شرعية أو تقدم خصومات.

• احذر من عروض «جيدة جدًا لدرجة يصعب تصديقها»: تعد التذاكر المخفضة أو التوافر المضمون في اللحظة الأخيرة أو الأسعار المخفضة للغاية بمثابة طعم شائع يستخدم لجذب الضحايا إلى تدفقات الحجز المزيفة.

• تجنب مواقع البث المجانية: التزم بالمذيعين الرسميين والتطبيقات المرخصة. تعمل روابط البث المجانية، خاصة تلك التي تتم مشاركتها على Reddit أو Telegram أو Facebook بشكل متكرر كقنوات لتوصيل البرامج الضارة التي يمكنها اختراق جهازك بصمت.

• لا تنقر على روابط عشوائية من الرسائل القصيرة أو وسائل التواصل الاجتماعي: عادةً ما تكون الرسائل الجماعية والرسائل المباشرة التي تروج لمبيعات التذاكر أو روابط البث جزءًا من حملات الاحتيال المنسقة. في حالة الشك، انتقل مباشرة إلى المنصة الرسمية.

• تحقق من عناوين URL لموقع الويب بعناية: ابحث عن الأخطاء الإملائية أو امتدادات النطاقات غير العادية (.online، .store، .live، .sbs)، أو الواصلات الإضافية، أو الأحرف الإضافية المدرجة في أسماء العلامات التجارية المعروفة قبل إدخال أي تفاصيل شخصية أو تفاصيل دفع.

• تحديد أذونات التطبيق: كن حذرًا عند تثبيت التطبيقات المتعلقة بالكريكيت أو البث المباشر أو التذاكر. لا تمنح أبدًا حق الوصول إلى جهات الاتصال أو المعرض أو الرسائل القصيرة ما لم يكن ذلك ضروريًا للغاية. يتم إساءة استخدام هذه الأذونات بشكل روتيني من قبل التطبيقات الضارة لجمع البيانات وتمكين الابتزاز.

• حافظ على تحديث الأجهزة والمتصفحات: تعمل تصحيحات الأمان على إغلاق الثغرات الأمنية التي تعتمد عليها سلاسل إعادة التوجيه الضارة والتنزيلات من محرك الأقراص. التحديثات المنتظمة هي واحدة من أبسط الدفاعات وأكثرها فعالية.

• تمكين المصادقة الثنائية: قم بتنشيط 2FA على البريد الإلكتروني وحسابات UPI والتطبيقات المصرفية ومحافظ التشفير للحد من الضرر في حالة سرقة بيانات الاعتماد.

الخاتمة

قد تستمر IPL بضعة أسابيع فقط، لكن المخاطر المحيطة بها تمتد إلى ما بعد المباراة النهائية. ما يبدو كإثارة غير مؤذية - حجز التذاكر أو مشاهدة البث - يمكن أن يتحول بسرعة إلى خسارة مالية وسرقة البيانات والاستغلال طويل الأجل.

مع استمرار مجرمي الإنترنت في تحسين تكتيكاتهم كل موسم، يظل الوعي هو خط الدفاع الأقوى. إن توخي الحذر والتحقق قبل الثقة وفهم كيفية عمل عمليات الاحتيال هذه يمكن أن يحدث فرقًا بين الاستمتاع باللعبة وأن تصبح جزءًا من نظام الاحتيال الذي يزدهر حولها.