0
0
Os pesquisadores da ESET descobriram uma campanha de phishing em massa com o objetivo de coletar as credenciais dos usuários da conta Zimbra.
O Zimbra Collaboration é uma plataforma de software colaborativo de núcleo aberto, uma alternativa popular para soluções de e-mail corporativo.
Sobre a campanha de phishing do Zimbra
A campanha está ativa desde pelo menos abril de 2023 e ainda está em andamento. Seus alvos são uma variedade de pequenas e médias empresas e entidades governamentais.
De acordo com a telemetria da ESET, o maior número de alvos está localizado na Polônia; no entanto, vítimas em outros países europeus, como Ucrânia, Itália, França e Holanda, também são visadas. As nações latino-americanas também foram atingidas; O Equador encabeça a lista de detecções nessa região.
Apesar desta campanha não ser particularmente sofisticada tecnicamente, ainda é capaz de se espalhar e comprometer com sucesso as organizações que usam o Zimbra Collaboration.
“Os adversários aproveitam o fato de que os anexos HTML contêm código legítimo, com o único elemento revelador sendo um link apontando para o host malicioso. Dessa forma, é muito mais fácil burlar políticas antispam baseadas em reputação, especialmente em comparação com técnicas de phishing mais comuns, nas quais um link malicioso é colocado diretamente no corpo do e-mail”, explica Viktor Šperka, pesquisador da ESET, que descobriu a campanha .
“As organizações-alvo variam; os adversários não se concentram em nenhuma vertical específica – a única coisa que conecta as vítimas é que elas estão usando o Zimbra”, acrescenta Šperka.
A popularidade do Zimbra Collaboration entre as organizações que devem ter orçamentos de TI mais baixos garante que ele continue sendo um alvo atraente para os adversários.
A linha do tempo do ataque
Inicialmente, o alvo recebe um e-mail com uma página de phishing no arquivo HTML anexado. O e-mail avisa o alvo sobre uma atualização do servidor de e-mail, desativação de conta ou problema semelhante e direciona o usuário a clicar no arquivo anexado.
Depois de abrir o anexo, o usuário é apresentado a uma página de login falsa do Zimbra personalizada de acordo com a organização visada. Em segundo plano, as credenciais enviadas são coletadas do formulário HTML e enviadas para um servidor controlado pelo adversário. Então, o invasor pode se infiltrar na conta de e-mail afetada.
Página de login falsa do Zimbra. (Fonte: ESET)
É provável que os invasores tenham conseguido comprometer as contas de administrador da vítima e criado novas caixas de correio que foram usadas para enviar e-mails de phishing para outros alvos. A campanha observada pela ESET depende apenas da engenharia social e da interação do usuário; no entanto, isso pode não ser sempre o caso.
FONTE: HELP NET SECURITY