ReliaQuest warnt davor, dass das cyberkriminelle Kollektiv „Scattered Lapsus$ Hunters“ offenbar die Social Engineering Angriffe auf die Zendesk-Instanzen von Unternehmen ausrichtet.
Diese Gruppe steckte hinter einer weit verbreiteten Kampagne Anfang des Jahres, bei der die Salesforce-Portale von Dutzenden von Unternehmen durch Voice-Phishing-Angriffe kompromittiert wurden.
„Das Threat Research Team von ReliaQuest hat Zendesk-bezogene Domains identifiziert, darunter mehr als 40 typosquatted Domains und imitierende URLs, die innerhalb der letzten sechs Monate erstellt wurden“, schreiben die Forscher.
„Diese Domains wie znedesk[.]com oder vpn-zendesk[.]com sind eindeutig darauf ausgelegt, legitime Zendesk-Umgebungen zu imitieren. Einige hosten Phishing-Seiten, wie z. B. gefälschte Single-Sign-On-Portale (SSO), die vor der Zendesk-Authentifizierung erscheinen. Dies ist eine klassische Taktik, die wahrscheinlich darauf abzielt, Anmeldedaten von ahnungslosen Benutzern zu stehlen. Wir haben auch Zendesk-bezogene falsche Domains identifiziert, die in der URL den Namen oder die Marke mehrerer verschiedener Organisationen enthielten, was es noch wahrscheinlicher macht, dass ahnungslose Benutzer diesen Links vertrauen und sie anklicken
Die Gruppe Scattered Lapsus$ Hunters ist sehr erfahren in dieser Art von Social-Engineering-Angriffen und nutzt den Zugang, um in Unternehmen Fuß zu fassen. Wenn sie erst einmal drin sind, stehlen sie so viele Daten wie möglich und versuchen, die Opfer zu erpressen, indem sie sie auf undichten Stellen auflisten.
„Wir haben auch Beweise dafür, dass betrügerische Tickets direkt auf legitimen Zendesk-Portalen eingereicht werden, die von Unternehmen betrieben werden, die die Plattform für den Kundenservice nutzen“, so Reliaquest.
„Diese gefälschten Eingaben zielen auf Support- und Helpdesk-Mitarbeiter ab und infizieren sie mit Remote-Access-Trojanern (RATs) und anderen Arten von Malware. Helpdesk-Teams werden mit dieser Art von Taktik oft unter gut durchdachten Vorwänden angegriffen, z. B. mit dringenden Anfragen zur Systemverwaltung oder gefälschten Anfragen zum Zurücksetzen von Passwörtern. Ziel ist es, das Support-Personal zur Herausgabe von Anmeldedaten oder zur Kompromittierung ihrer Endgeräte zu verleiten.“
Schulungen zum Sicherheitsbewusstsein mit realistischen Phishing-Simulationen kann den Mitarbeitern helfen, wachsam zu sein, auch wenn sie beschäftigt sind. Wenn die Mitarbeiter wissen, dass sie simulierte Phishing-E-Mails erhalten werden, werden sie die echten eher erkennen.
ReliaQuest hat die story.