Apesar de sua simplicidade, uma campanha de phishing direcionada aos clientes do pacote de software Zimbra Collaboration se espalhou para centenas de organizações em mais de uma dúzia de países.
Zimbra é um conjunto de software colaborativo, que inclui um servidor de e-mail e um cliente Web. É uma alternativa de nicho às soluções tradicionais de e-mail corporativo com uma pequena fração do mercado, de acordo com números de usuários rastreados porEnlyft e6 sentido .
Zimbra foi assolado por incidentes de segurança durante todo o ano, incluindoum bug de execução remota de código ,um cross-site scripting zero-day euma campanha de roubo de informações pela nação da Coreia do Norte .
De acordo com pesquisadores da ESET , desde abril de 2023, um agente de ameaça não identificado tem usado e-mails de phishing dispersos para selecionar credenciais de contas privilegiadas do Zimbra. Os alvos principais têm sido empresas de pequeno a médio porte (a principal base de clientes do software de núcleo aberto), embora algumas organizações governamentais também tenham sido arrebatadas pela campanha.
“Centenas de organizações diferentes foram alvo desta campanha”, afirma Anton Cherepanov, pesquisador sênior de malware da ESET. No entanto, “é difícil dizer a extensão do dano”, porque a maioria dos ataques foi erradicada antes de acontecer.
Usuários de phishing do Zimbra
Cada ataque começa da mesma forma – um e-mail geral de phishing, supostamente vindo do próprio Zimbra, transmitindo algum tipo de mensagem urgente sobre, digamos, uma atualização de servidor ou desativação de conta. Por exemplo, a seguinte nota intitulada “Informações importantes do Zimbra Security Service”:
A partir de hoje, 07/03/2023, a página de login do seu cliente web Zimbra mudará. Estamos nos preparando para uma atualização por e-mail. No entanto, para evitar a desativação e perda de acesso à sua conta de e-mail, visualize o download do anexo.
O e-mail é assinado “Zimbra Boss — Administração”.
Em anexo está um arquivo HTML, direcionando o usuário para uma página de login genérica do Zimbra com alguns elementos de identificação personalizados para a organização de destino específica. A página é aberta no navegador do usuário, apesar de ser um caminho de arquivo local, e preenche previamente o campo de nome de usuário, para dar a impressão de uma página de login legítima do Zimbra.
O impacto para os clientes
Obviamente, qualquer usuário que digitar sua senha na página de login falsa enviará as informações confidenciais diretamente aos invasores.
“O pior resultado é que os invasores podem obter privilégios de administrador do Zimbra e, em seguida, privilégios de root no próprio servidor. Mas isso depende de muitos fatores, como possível reutilização de senha, configuração usada, etc”, diz Cherepanov.
O país mais afetado por esta campanha é a Polônia, seguida do Equador e da Itália, com ataques também chegando ao México, Cazaquistão e Holanda. Os alvos não compartilham nada em comum além do uso do Zimbra.
Para evitar comprometimento, Cherepanov recomenda higiene de segurança padrão: usar senhas fortes, autenticação multifator e atualização para a versão mais recente do Zimbra.
FONTE: DARKREADING