- Peretas menargetkan pengguna Zendesk dengan domain yang salah ketik untuk mencuri kredensial
- ReliaQuest menemukan 40+ domain palsu yang terkait dengan kesamaan kampanye Salesforce
- Penyerang mengirimkan tiket Zendesk palsu untuk menyebarkan malware dan mencuri akses staf pendukung
Para ahli telah memperingatkan bahwa geng Scattered Lapses $ Hunters yang terkenal, yang terkenal menargetkan pengguna Salesforce, kini juga menargetkan pengguna Zendesk dan mencoba mencuri kredensial login dan mendapatkan akses ke informasi sensitif mereka.
Peneliti keamanan di ReliaQuest mengklaim bahwa dalam enam bulan terakhir, lebih dari 40 domain salah ketik telah didaftarkan untuk meniru Zendesk. Dalam beberapa kasus, domain menyertakan nama merek (misalnya nama bisnis-zendesk(dot)com), dan dalam kasus lain, domain tersebut relatif umum (misalnya vpn-zendesk(dot)com).
Semua domain yang ditemukan ReliaQuest didaftarkan melalui Nicenik, dengan informasi registrar Inggris atau AS (mungkin dicuri dalam pelanggaran sebelumnya) dan server nama bertopeng Cloudflare.
Juga menyerang Discord?
Para peneliti menemukan kampanye tersebut saat menyelidiki insiden Salesforce tahun 2024, dengan menyatakan, “Domain yang kami temukan saat menyelidiki kampanye bulan Agustus memiliki kesamaan dengan domain Zendesk: pemformatan, fitur registri, dan penggunaan portal SSO palsu.”
Jika informasi ini benar, berarti grup Scattered Lapses$ Hunters (SLH) sedang sibuk selama musim panas.
Para peneliti juga mengatakan mereka melihat peretas mencoba menginfeksi bisnis dengan malware dengan mengirimkan tiket mereka ke portal Zendesk.
“Pengajuan palsu ini dirancang untuk menargetkan personel dukungan dan layanan bantuan, menginfeksi mereka dengan Trojan Akses Jarak Jauh (RAT) dan jenis malware lainnya,” kata laporan itu.
“Menargetkan tim pusat bantuan dengan taktik seperti ini sering kali melibatkan alasan yang dibuat dengan baik, seperti permintaan administrasi sistem yang mendesak atau permintaan pengaturan ulang kata sandi palsu. Tujuannya adalah untuk mengelabui staf pendukung agar menyerahkan kredensial atau membahayakan titik akhir mereka.”
Beberapa publikasi menghubungkan kampanye tersebut dengan insiden Discord baru-baru ini. Pada bulan Oktober, platform komunikasi populer tersebut mengatakan akun Zendesk-nya telah dibobol, dan data sensitif seperti informasi penagihan, nomor ID, dan alamat email telah dicuri. Namun, SLH membantah terlibat. Demikian SOCRadarKelompok tersebut mengatakan melalui saluran Telegramnya bahwa mereka tidak ada hubungannya dengan serangan tersebut:
“Kami tidak pernah mengambil pujian atas kesepakatan Discord Zendesk. Kami sebenarnya mengeluarkan Okta mereka pada saat yang sama… vxunderground yakin kami berada di balik kesepakatan Zendesk. Kami tidak pernah mengoreksinya karena itu konyol dan kami tahu kebenaran akan terungkap.”
melalui Majalah Infokeamanan
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan Tambahkan kami sebagai sumber daya pilihan Untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok Dapatkan berita, review, unboxing dalam bentuk video, dan update rutin dari kami Ada apa Juga
