Campanha do Scattered Lapsus$ Hunters utiliza mais de 40 domínios falsos para comprometer usuários do Zendesk

zairasilva

1 semana ago

Campanha do Scattered Lapsus$ Hunters utiliza mais de 40 domínios falsos para comprometer usuários do Zendesk

O grupo de cibercriminosos conhecido como Scattered Lapsus$ Hunters lançou uma nova operação orientada a empresas que utilizam a plataforma de atendimento ao cliente Zendesk. O ponto de partida da campanha foi o registro de mais de 40 domínios projetados para imitar, de forma quase imperceptível, o endereço legítimo do serviço. A ofensiva combina técnicas de typosquatting, portais de single sign-on maliciosos e a abertura de tickets de suporte fraudulentos diretamente no sistema das vítimas, culminando em um plano anunciado de ataque em larga escala para o fim de 2026.

Índice

Volume inédito de domínios comprometidos

O primeiro elemento que chama a atenção é a quantidade de endereços criados. Segundo a investigação, mais de quatro dezenas de domínios foram registrados especificamente para este propósito. Cada URL contém variações sutis da grafia correta de “Zendesk”, como “znedesk.com”, apostando em erros de digitação comuns para capturar usuários desatentos. Essa prática, conhecida como typosquatting, amplia o alcance da armadilha: quanto maior o portfólio de domínios, maior a chance de alguém se enganar ao digitar a URL de login.

Typosquatting: a porta de entrada do ataque

A fraude começa com a semelhança visual entre os sites falsos e o portal verdadeiro do Zendesk. Quando o usuário digita equivocadamente o endereço, é redirecionado para um ambiente de login que replica cores, logotipos e fluxos de autenticação legítimos. A diferença, contudo, está no destino das credenciais inseridas: em vez de seguirem para os servidores oficiais, elas são coletadas pelos operadores do Scattered Lapsus$ Hunters.

Essa abordagem tira proveito da distração natural de operadores de suporte, que costumam navegar rapidamente entre múltiplos sistemas. Bastam poucos segundos de descuido para entregar nomes de usuário, senhas e, em muitos casos, tokens de autenticação de sessão.

Infraestrutura: registros via NiceNic e proteção pelo Cloudflare

Outro ponto relevante da campanha reside na escolha da infraestrutura. Todos os domínios identificados foram cadastrados por meio da NiceNic, uma provedora de registros de nomes de domínio. Em seguida, os criminosos configuraram serviços de nameserver mascarados pelo Cloudflare, recurso utilizado para ocultar a localização real dos servidores onde os sites maliciosos estão hospedados. Essa dupla camada oferece ao grupo o sigilo necessário para manter os portais ativos o suficiente para capturar volumes significativos de dados antes de qualquer bloqueio ou denúncia.

Portais falsos de Single Sign-On

O Scattered Lapsus$ Hunters optou por reproduzir exatamente o fluxo de single sign-on (SSO) utilizado por muitas empresas. A escolha não é aleatória: o SSO reúne múltiplos sistemas corporativos em um único ponto de autenticação, de modo que credenciais comprometidas a partir desse portal podem equivaler a chaves mestres dentro da organização.

Quando o funcionário insere seus dados nesse ambiente, duas consequências aparecem. Primeiro, as credenciais são imediatamente salvas pelos invasores. Segundo, o portal malicioso marca o navegador do usuário, criando um checkpoint que simplifica acessos sucessivos sem levantar alerta. Dessa maneira, o grupo garante um retorno contínuo às áreas internas mais sensíveis da empresa-alvo.

Tickets fraudulentos dentro do Zendesk

Superada a barreira inicial de autenticação, os invasores adotam uma manobra considerada o ponto alto da campanha: gerar tickets de suporte falsos dentro do próprio Zendesk da vítima. Em vez de mensagens de e-mail que podem ser barradas por filtros antiphishing, os cibercriminosos utilizam o canal oficial da plataforma, onde o fluxo de recebimento de chamados é naturalmente autorizado.

Cada ticket é elaborado para parecer urgente e legítimo. Exemplos incluem solicitações como “Resetar senha do administrador imediatamente” ou “Problema crítico no sistema – acesso necessário agora”. O tom pressiona o agente de suporte a agir sem delongas, reduzindo a probabilidade de verificação manual dos detalhes.

Artigos Relacionados:

Inseridos no corpo desses chamados, encontram-se links direcionando a dois destinos: os mesmos domínios falsos já mencionados ou arquivos que aparentam ser rotinas de manutenção. Ao clicar, o funcionário executa download automático de um Remote Access Trojan (RAT), ferramenta que concede controle total da máquina infectada ao atacante.

Do acesso remoto ao movimento lateral

Com o RAT instalado, o Scattered Lapsus$ Hunters obtém acesso permanente e invisível ao computador comprometido. A partir daí, inicia-se o chamado movimento lateral: os criminosos percorrem a rede corporativa em busca de sistemas de maior privilégio, como bancos de dados de clientes, módulos financeiros e repositórios de documentos confidenciais.

Enquanto a movimentação acontece, dados sensíveis são coletados em segundo plano. Informações de pagamento, identidades completas e históricos de atendimento entram no radar dos invasores. Cada novo conjunto de dados extraído amplia o impacto do incidente e aumenta o potencial de uso posterior em fraudes financeiras ou extorsões.

Ameaça anunciada para o fim de 2026

Em comunicado divulgado via Telegram, o grupo declarou que planeja uma ofensiva em larga escala durante o período de festas de fim de ano de 2026. Tradicionalmente, esse intervalo concentra aumento de demanda por suporte e, simultaneamente, redução de equipes em muitas empresas, cenário que favorece brechas de segurança.

O objetivo explicitado pelos criminosos é coletar bancos de dados completos de clientes, contemplando informações bancárias e documentos governamentais. Ao tornar pública a intenção, o Scattered Lapsus$ Hunters aposta no efeito psicológico de alerta e pressão, testando a prontidão das equipes de segurança e demonstrando confiança na eficácia de sua metodologia.

Consequências potenciais para as empresas-alvo

A combinação de typosquatting, SSO falso, tickets internos forjados e RATs cria um encadeamento de ameaças que vai além de uma simples coleta de senhas. Uma vez dentro do ambiente corporativo, os invasores podem alterar configurações, apagar evidências e, sobretudo, exfiltrar dados em larga escala. O risco se estende a clientes finais, cujas informações podem circular em mercados ilegais caso não sejam adotadas medidas de contenção rapidamente.

Relevância do incidente no cenário de cibersegurança

A campanha do Scattered Lapsus$ Hunters evidencia uma mudança de enfoque. Em vez de contornar sistemas externos ou enviar e-mails flagrados por filtros, o grupo explora canais internos já legitimados. Esse redirecionamento torna mais difícil para as equipes de defesa detectarem atividades anômalas, pois o fluxo de dados acontece dentro de um escopo considerado confiável.

Ao mesmo tempo, a criação antecipada de dezenas de domínios mostra planejamento meticuloso. A diversidade de endereços aumenta a resiliência da operação: ainda que alguns sejam bloqueados, outros permanecem ativos e continuam a atrair vítimas.

Linhas gerais de mitigação observadas

Embora o ataque se valha de artifícios sofisticados, a narrativa aponta para três áreas críticas de atenção dentro das organizações:

1. Monitoramento de domínios semelhantes: companhias que utilizam o Zendesk podem acompanhar registros de URLs que imitam a marca, reduzindo o tempo até o bloqueio ou a solicitação de derrubada.

2. Validação de tickets internos: a criação de um protocolo para solicitações urgentes de TI auxilia na identificação de chamados potencialmente falsos.

3. Revisão de políticas de SSO: controles adicionais, como autenticação multifator obrigatória e alertas de login em domínios não autorizados, limitam a eficácia dos portais clonados.

Essas ações se alinham às vulnerabilidades mencionadas na própria campanha e podem reduzir a superfície de ataque antes do período de festas de 2026, foco anunciado pelo grupo.

Panorama atual e próximos passos

Até o momento, não há indicação de quantas organizações foram efetivamente comprometidas ou do volume exato de dados já coletados. Entretanto, o simples fato de o Scattered Lapsus$ Hunters divulgar a intenção de um ataque massivo sugere a continuidade do monitoramento e da extração de informações nos meses que antecedem o período alvo.

Empresas que utilizam o Zendesk ou qualquer plataforma integrada a sistemas de SSO devem considerar a adoção imediata de auditorias de sessão, verificação de chamados criados e validação de domínios legítimos. A campanha em curso, baseada em mais de 40 sites falsos, demonstra que os criminosos estão dispostos a manter operações sustentadas e de longo prazo para alcançar seus objetivos.

zairasilva

Olá! Eu sou a Zaira Silva — apaixonada por marketing digital, criação de conteúdo e tudo que envolve compartilhar conhecimento de forma simples e acessível. Gosto de transformar temas complexos em conteúdos claros, úteis e bem organizados. Se você também acredita no poder da informação bem feita, estamos no mesmo caminho. ✨📚No tempo livre, Zaira gosta de viajar e fotografar paisagens urbanas e naturais, combinando sua curiosidade tecnológica com um olhar artístico. Acompanhe suas publicações para se manter atualizado com insights práticos e interessantes sobre o mundo da tecnologia.

Conteúdo Relacionado

Go up

Usamos cookies para garantir que oferecemos a melhor experiência em nosso site. Se você continuar a usar este site, assumiremos que você está satisfeito com ele. OK