Pesquisadores de cibersegurança destacaram o uso indevido da infraestrutura da Zendesk por atacantes para facilitar campanhas de phishing e fraudes conhecidas como “pig butchering”. Esses golpes exploram os subdomínios oferecidos pela plataforma SaaS da Zendesk, disponíveis durante o período de teste gratuito, para criar interfaces que imitam marcas legítimas. Registrando subdomínios com nomes semelhantes aos de empresas reais, os invasores conseguem enganar vítimas, conduzindo-as a páginas de phishing, roubo de dados ou fraudes financeiras.

Esse método é potencializado pelo uso de ferramentas de marketing B2B, como RocketReach e Apollo, que ajudam os atacantes a coletar e-mails de funcionários de empresas específicas. Além disso, uma falha no processo de verificação de e-mail da Zendesk permite que qualquer conta seja adicionada como membro de um subdomínio, possibilitando o envio de páginas de phishing disfarçadas como notificações de tickets atribuídos. Isso faz com que esses e-mails fraudulentos contornem filtros de spam e se apresentem como mensagens legítimas.

Desde 2023, a ferramenta XVigil detectou 1.912 instâncias suspeitas de subdomínios da Zendesk. Muitos desses subdomínios utilizam palavras-chave relacionadas a marcas que os atacantes estão tentando imitar, frequentemente combinadas com números, para parecerem legítimos. Embora empresas legítimas também utilizem a Zendesk para interagir com clientes, a criação de múltiplas instâncias para uma única empresa ao longo do tempo muitas vezes levanta suspeitas de atividades maliciosas.

Os pesquisadores também demonstraram como esses subdomínios podem ser utilizados para golpes sofisticados. O processo começa com o registro de um subdomínio na Zendesk, onde os atacantes fornecem informações como e-mail, nome e tamanho fictício da empresa. Após a configuração, eles ganham acesso administrativo ao subdomínio, podendo personalizar sua aparência para parecer idêntica à da marca imitada.