O Scattered Lapsus$ Hunters registrou mais de 40 domínios para uma nova campanha visando enganar empresas que usam o Zendesk, plataforma de atendimento ao cliente.
Os sites falsos usam endereços que parecem verdadeiros, mas que contém erros de digitação. As URLs podem parecer como “znedesk.com”, erro de escrita que pode acontecer pela falta de atenção do próprio usuário, na hora de digitar.
Como funcionam os domínios fraudulentos
Esses endereços são feitos para imitar ambientes de login legítimos, hospedando portais maliciosos de Single Sign-On, ou seja, entrada única. Assim, é possível capturar credenciais de usuários distraídos.
Os domínios foram consistentemente registrados por meio da NiceNic, e claro, usam servidores de nomes mascarados pelo Cloudflare para ocultar as origens de hospedagem. Isso permite que os membros do grupo mantenham sigilo operacional.
Com essas técnicas, também é possível que os atores maliciosos consigam manter os sites falsos por tempo o suficiente para captar volumes de informações e credenciais de alto privilégio antes mesmo que a pessoa perceba que fez login em um site errado.
Tickets falsos dentro do próprio sistema
Assim que os atacantes contornam a camada inicial de autenticação, com o single sign-on, eles estabelecem um checkpoint que facilita o acesso a infraestruturas de riscos mais altos. Desta forma, eles conseguem roubar dados sensíveis de clientes, incluindo informações de pagamento e identidades.
A tática mais inovadora e perigosa do grupo rompe com o padrão tradicional de ataques cibernéticos. Em vez de enviar e-mails de phishing que podem ser bloqueados por filtros de segurança, os criminosos criam tickets de suporte fraudulentos diretamente dentro do sistema Zendesk das empresas-alvo.
Esses chamados falsos são meticulosamente elaborados para parecerem urgentes e legítimos. Geralmente se apresentam como solicitações críticas da equipe de TI, como “Resetar senha do administrador imediatamente” ou “Problema crítico no sistema – acesso necessário agora”.
O diferencial dessa abordagem é que o ataque não vem de fora – ele surge dentro de um canal oficial e confiável da própria empresa. Para o atendente que recebe o ticket, tudo parece normal: é uma solicitação que chegou pelo sistema correto, com aparência profissional e tom de urgência que pressiona por uma resposta rápida.
Incorporados nesses tickets fraudulentos estão links que levam aos sites falsos ou arquivos aparentemente inofensivos. Quando o funcionário do help-desk clica para “resolver o problema”, sem saber aciona o download automático de programas maliciosos conhecidos como RATs (Trojans de Acesso Remoto).
Uma vez instalado, o RAT concede aos hackers acesso completo e permanente ao computador infectado. É como se o criminoso estivesse fisicamente sentado na frente da máquina da vítima, com capacidade para executar qualquer comando, monitorar atividades em tempo real, capturar senhas e navegar livremente pela rede interna da empresa.
Após estabelecer esse “ponto de apoio”, os invasores realizam o que especialistas chamam de “movimento lateral” – usando o primeiro computador comprometido como trampolim para acessar outros sistemas mais sensíveis dentro da organização, incluindo bancos de dados de clientes, sistemas financeiros e informações confidenciais.
Ameaça para 2026: ataque massivo anunciado
Em um comunicado no Telegram, os hackers alertaram equipes de segurança para “observarem seus registros de perto”.
O grupo afirma estar se preparando para uma ofensiva em larga escala durante a temporada de festas de fim de ano de 2026, período em que empresas costumam estar mais vulneráveis devido ao aumento de demanda e redução de equipes.
O objetivo declarado é coletar bancos de dados completos de clientes, incluindo informações bancárias e documentos governamentais.
Para continuar informado sobre este caso, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.
