Hack Alerta

Scattered Lapsus$ registra 40+ domínios que imitam ambientes Zendesk

Por Redação Hack Alerta Publicado em 28/11/2025 05:03 Cyber ataques Tempo de leitura: 3 min

O grupo Scattered Lapsus$ Hunters registrou mais de 40 domínios typosquatted que imitam Zendesk e usa tickets falsos e SSO fraudulentos para capturar credenciais e distribuir RATs; a técnica permite movimentação lateral e exfiltração de dados se agentes de suporte interagirem com links ou anexos maliciosos.

Pesquisadores reportam que o coletivo denominado "Scattered Lapsus$ Hunters" registrou mais de 40 domínios typosquatted para imitar ambientes Zendesk, hospedando portais SSO fraudulentos e submetendo tickets maliciosos como vetor de intrusão.

Descoberta e mecanismo de ataque

A campanha identificada registrou domínios como znedesk[.]com e vpn-zendesk[.]com, recorrendo a serviços de registro (NiceNic) e a nameservers mascarados via Cloudflare para dificultar análise de infraestrutura. As páginas simulam ambientes de login SSO para capturar credenciais de agentes de suporte.

Weaponização de tickets de suporte

A tática descrita mais perigosa é a inserção direta de tickets falsos no portal de suporte da vítima. Esses tickets costumam fingir solicitações administrativas ou reset de senha urgentes, levando agentes a clicar em links que apontam para domínios typosquatted ou a baixar payloads que entregam RATs ao endpoint do agente.

Infraestrutura e sinais

Os registros mostram padronização nas características de registro dos domínios e o uso de Cloudflare para ofuscação. Reliaquest, citada pela matéria, correlacionou aspectos de registro com operações anteriores do grupo (ataque a Salesforce em agosto de 2025), indicando reaproveitamento de infraestrutura e táticas.

Impacto potencial

Um comprometimento bem-sucedido de um portal Zendesk pode permitir movimento lateral em ambientes corporativos, exfiltração de dados sensíveis de clientes (billing, IDs) e estabelecimento de persistência via acesso privilegiado a tickets e integrações. O histórico do grupo inclui roubo de dados em incidentes anteriores, o que reforça o risco.

Limites das informações

A matéria não indica número de vítimas confirmadas, nem lista domínios completos além de exemplos. Também não há detalhes técnicos de indicadores de comprometimento além das observações sobre registradores e a presença de RATs via payloads em tickets.

Recomendações operacionais

  • Validar rigorosamente a origem de tickets que contenham links ou solicitações administrativas — exigir verificações fora do fluxo padrão quando houver urgência.
  • Fortalecer controles SSO, habilitar autenticação multifator para agentes e monitorar logs de tickets por anexos e URLs externos.
  • Implementar proteção de endpoint que bloqueie execução de payloads baixados de fontes não confiáveis e segmentar acessos do portal de suporte ao resto da rede.

Conclusão

A evolução do coletivo em direção a ataques de supply‑chain operacional via plataformas de suporte demonstra que ferramentas legítimas podem ser transformadas em vetores quando processos humanos e automações não são suficientemente validados.

Baseado em publicação original de Cyber Security News
Tags: #scattered-lapsus #zendesk #typosquatting #phishing #sso #support-tickets #rats #supply-chain #reliaquest
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar