Lapsus$ Hunters registram mais de 40 domínios representando ambientes Zendesk – Against Invaders

Lapsus$ Hunters registram mais de 40 domínios representando ambientes Zendesk - Against Invaders

A equipe de pesquisa de ameaças da ReliaQuest descobriu uma nova campanha significativa do famoso coletivo de ameaças “Scattered Lapsus$ Hunters”, desta vez visando usuários e organizações que utilizam a amplamente adotada plataforma de suporte ao cliente Zendesk.

A investigação revelado mais de 40 domínios typosquatting e falsificados registrados nos últimos seis meses, sinalizando uma escalada na estratégia contínua de ataque à cadeia de suprimentos do grupo.

Os domínios maliciosos identificados, incluindo znedesk[.]com e vpn-zendesk[.]com, são criados para imitar de perto os ambientes legítimos do Zendesk.

Alguns desses domínios hospedam páginas de phishing com portais falsos de login único (SSO) projetados para aparecer antes da autenticação Zendesk, uma técnica clássica de coleta de credenciais direcionada a usuários desavisados.

Além disso, a ReliaQuest identificou domínios contendo vários nomes ou marcas de organizações diferentes em seus URLs, aumentando ainda mais a probabilidade de os usuários confiarem e interagirem com esses links maliciosos.

A infraestrutura descoberta compartilhava características distintas: os domínios foram registrados através do NiceNic com informações de contato dos registrantes dos EUA e do Reino Unido, e os servidores de nomes foram mascarados através de nuvemflare.

Esses detalhes de registro refletem os padrões observados na campanha anterior do Scattered Lapsus$ Hunters direcionada à Salesforce em agosto de 2025, sugerindo um manual operacional deliberado.

Além dos domínios de phishing externos, os pesquisadores descobriram evidências de tickets fraudulentos enviados diretamente para portais legítimos da Zendesk.

Contexto de campanha mais amplo

Esses envios falsos têm como alvo o pessoal de suporte e suporte técnico com pretextos elaborados, como solicitações urgentes de administração do sistema ou consultas de redefinição de senha projetadas para distribuir cavalos de Tróia de acesso remoto (RATs) e outros malwares.

Essa abordagem multifacetada oferece aos invasores múltiplos vetores para comprometer as redes organizacionais.

Esta operação focada no Zendesk chega após a violação do grupo em setembro de 2025 do sistema de suporte baseado no Zendesk do Discord, que expôs dados confidenciais do usuário, incluindo nomes, endereços de e-mail, informações de cobrança e informações de identificação emitidas pelo governo.

Anteriormente, este incidente parecia isolado; no entanto, as últimas descobertas sugerem dispersão Lapsus$ Caçadores está executando uma estratégia coordenada de ataque à cadeia de suprimentos visando plataformas SaaS.

Em uma postagem recente no Telegram, o grupo afirmou: “Espere por 2026, estamos realizando 3-4 campanhas atm [at the moment].”

Outra mensagem alertava: “todo o pessoal de RI deveria estar trabalhando observando seus registros durante os próximos feriados até janeiro de 2026 porque #ShinyHuntazz está vindo para coletar seus bancos de dados de clientes”.

A infraestrutura Zendesk provavelmente representa uma dessas campanhas anunciadas, potencialmente complementando o compromisso reivindicado pelo grupo em novembro de 2025 da plataforma de sucesso do cliente Gainsight.

Padrão de segmentação SaaS

O foco da Scattered Lapsus$ Hunters em plataformas de suporte ao cliente representa uma evolução sofisticada na metodologia de ataque à cadeia de suprimentos.

O coletivo já tinha como alvo plataformas SaaS de alto valor, incluindo Força de vendasSalesloft, Drift e Gainsight, cada um oferecendo ampla adoção organizacional e acesso a dados downstream do cliente.

As plataformas de suporte ao cliente são alvos desejáveis ​​porque muitas vezes recebem menos escrutínio de segurança do que a infraestrutura principal e, ainda assim, concedem aos invasores acesso a credenciais e informações do cliente.

As organizações que usam o Zendesk devem implementar imediatamente medidas de segurança robustas.

Isso inclui a exigência de autenticação multifator com chaves de segurança de hardware para todas as contas administrativas e de suporte, a implantação de monitoramento proativo de domínio e filtragem de DNS para detectar domínios com erros tipográficos e a limitação de funcionários que podem receber mensagens diretas por meio do chat do Zendesk.

É essencial implementar a filtragem de conteúdo para detectar links de phishing e padrões de solicitação de credenciais.

A ReliaQuest prevê o abuso contínuo das plataformas de suporte ao cliente. As organizações devem tratar estas plataformas como infraestruturas críticas, exigindo o mesmo rigor de segurança aplicado aos sistemas centrais.

A detecção precoce de padrões maliciosos de registro de domínios e o monitoramento contínuo da segurança durante o próximo período de férias são estratégias defensivas essenciais.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.