Los piratas informáticos afiliados a Scattered Lapsus$ Hunters podrían estar preparando una campaña de amenazas contra los entornos de Zendesk, según los investigadores de Reliaquest.
En los últimos seis meses se han creado alrededor de 40 dominios de typoquatting y suplantación de identidad que imitan los entornos de Zendesk. según un blog publicado el miércoles por Reliaquest. Zendesk es una empresa que ofrece software de ventas y servicio al cliente basado en la nube.
Algunos de los dominios alojan páginas de phishing que contienen portales de inicio de sesión único falsos, que pueden usarse para engañar a los usuarios y robar credenciales, según el blog.
Los investigadores de Reliaquest creen que la campaña ya está comenzando a apuntar a los entornos de Zendesk.
«El objetivo principal en esta etapa parece ser recopilar credenciales de usuarios dentro de organizaciones que dependen de Zendesk, como administradores de sistemas o personal de asistencia técnica, probablemente debido a sus permisos elevados», dijo un portavoz de Reliaquest a Cybersecurity Dive por correo electrónico.
Los dominios contenían varios detalles de registro importantes, incluidos servidores de nombres enmascarados por Cloudflare, información de contacto del registrante con sede en EE. UU. y el Reino Unido y registro a través de NiceNik, según Reliaquest.
Los investigadores advierten que tienen evidencia de que los piratas informáticos están enviando tickets fraudulentos a portales legítimos de Zendesk operados por organizaciones que utilizan el portal para servicio al cliente. Los tickets fraudulentos están diseñados para atacar al personal de soporte y asistencia técnica, infectándolos con troyanos de acceso remoto y otros tipos de malware, según Reliaquest.
Un portavoz de Reliaquest dijo que los investigadores compartieron sus hallazgos con Zendesk.
«Nuestro equipo de seguridad monitorea continuamente posibles sitios de phishing, dominios fraudulentos o uso indebido de nuestras marcas comerciales en busca de actividades maliciosas», dijo un portavoz de Zendesk a Cybersecurity Dive por correo electrónico. «Respondemos rápidamente a las amenazas emergentes, alertamos a las partes afectadas e implementamos medidas de protección cuando es apropiado para garantizar la seguridad de nuestros clientes».
Esos elementos son similares a los detalles descubiertos en relación con una campaña de agosto vinculada a Scattered Lapsus$ Hunters dirigida a entornos de Salesforce, según Reliaquest.
Zendesk y Hubspot a finales del mes pasado suspendieron sus conexiones con Gainsight después de que los clientes de esa empresa fueran blanco de una campaña de amenazas vinculada a Salesforce. Los investigadores de Google Threat Intelligence Group dijeron el mes pasado que se estaban investigando más de 200 casos en los que los datos de los clientes de Salesforce podrían haber sido comprometidos a través de su conexión Gainsight.
Reliaquest dijo que la campaña de Zendesk llega dos meses después de un ataque vinculado a Discord. En ese incidente, los piratas informáticos se dirigieron a un proveedor externo que Discord utiliza para el servicio al cliente.
Es posible que alrededor de 70.000 usuarios hayan visto expuestas sus fotografías de identificación gubernamental en ese incidente. según una publicación de blog de Discord. Se robaron ciertos datos sobre clientes que se habían puesto en contacto con Discord ya sea a través de su servicio de atención al cliente o de sus equipos de seguridad.
Según Discord, los piratas informáticos tenían la intención de obtener un rescate.
Nota del editor: agrega comentarios adicionales de Reliaquest.
Fuente