Registro de subdomínios do Zendesk exposto a phishing e golpes de “pig butchering”

A CloudSEK descobre uma vulnerabilidade no Zendesk que permite que cibercriminosos explorem subdomínios para phishing e golpes de investimento. Saiba mais sobre os riscos e as correções necessárias.

Pontos principais:

• Pesquisadores de segurança cibernética identificaram uma vulnerabilidade na plataforma SaaS do Zendesk.
• A vulnerabilidade permite que criminosos cibernéticos explorem subdomínios para lançar golpes de phishing e investimentos.
• A funcionalidade de registro de subdomínios do Zendesk pode ser usada para criar subdomínios que se parecem com marcas legítimas.
• A vulnerabilidade pode ser explorada em golpes de “pig butchering”, uma forma de fraude de investimento.
• A CloudSEK responsavelmente divulgou a vulnerabilidade ao Zendesk, solicitando ação imediata.

Pesquisadores de segurança cibernética da CloudSEK identificaram uma vulnerabilidade de segurança na plataforma SaaS do Zendesk. A funcionalidade de registro de subdomínios da plataforma pode ser explorada por cibercriminosos para lançar golpes de phishing e investimentos.

O Zendesk, uma plataforma de suporte ao cliente amplamente utilizada, oferece contas de teste gratuitas e permite que os usuários registrem subdomínios facilmente. De acordo com a análise da CloudSEK, essa funcionalidade pode ser abusada por atores de ameaças para criar subdomínios que se parecem com marcas legítimas, possibilitando campanhas de phishing convincentes.

Os pesquisadores observaram que a vulnerabilidade pode ser explorada em golpes de “pig butchering”, uma forma de fraude de investimento onde as vítimas são preparadas ao longo do tempo para investir em esquemas fraudulentos.

A análise da CloudSEK encontrou 1.912 instâncias de sites do Zendesk desde 2023, com algumas empresas mostrando um número incomumente alto de subdomínios registrados. Embora pretendida para facilitar a configuração rápida de negócios, essa funcionalidade introduz um risco de segurança significativo.

Os atacantes podem usar a plataforma do Zendesk para criar subdomínios falsos, lançar campanhas de phishing e construir confiança através de sua aparência profissional. Aproveitando os recursos de comunicação do Zendesk, eles podem enviar e-mails de phishing disfarçados de mensagens legítimas de suporte ao cliente. Esses e-mails frequentemente incluem links ou anexos maliciosos para atrair as vítimas a clicar.

Em um ataque de phishing de demonstração contra a XYZ Company, um atacante registrou uma URL imitando o endereço da empresa-alvo, forneceu detalhes de e-mail, nome e tamanho da empresa, e nomeou uma instância do Zendesk. Eles então registraram um subdomínio, obtiveram acesso administrativo e enviaram um e-mail de convite. Os atores de ameaça usaram essa configuração para vincular páginas de phishing ativas aos usuários, fingindo atribuir tickets.

Links maliciosos nos e-mails redirecionavam as vítimas para plataformas de investimento falsas ou páginas de suporte controladas pelos atacantes. Essas plataformas foram projetadas para manipular as vítimas a compartilhar informações sensíveis ou transferir fundos.

A pesquisa da CloudSEK compartilhada com o Hackread.com também aponta uma falha crítica no processo de validação de e-mails do Zendesk. A plataforma carece de verificações essenciais ao adicionar usuários a subdomínios, permitindo que os atacantes direcionem funcionários e clientes com tentativas de phishing disfarçadas de atribuições legítimas de tickets. Os e-mails do Zendesk frequentemente caem diretamente nas caixas de entrada primárias dos usuários, aumentando a probabilidade de interação.

A CloudSEK divulgou responsavelmente a vulnerabilidade ao Zendesk, solicitando ação imediata para mitigar sua exploração por cibercriminosos.

Fonte: HackRead