Campanha de phishing rouba contas de servidores de email Zimbra em todo o mundo
18 de Agosto de 2023

Uma campanha de phishing em andamento tem ocorrido desde pelo menos abril de 2023, que tenta roubar credenciais para servidores de email da Zimbra Collaboration em todo o mundo.

De acordo com um relatório da ESET, e-mails de phishing são enviados a organizações em todo o mundo, sem foco específico em determinadas organizações ou setores.

O ator da ameaça por trás dessa operação permanece desconhecido até o momento.

Segundo os pesquisadores da ESET, os ataques começam com um e-mail de phishing fingindo ser de um administrador da organização informando aos usuários sobre uma iminente atualização do servidor de email, o que resultará na desativação temporária da conta.

O destinatário é solicitado a abrir um arquivo HTML anexado para saber mais sobre a atualização do servidor e revisar instruções sobre como evitar a desativação das contas.

Ao abrir o anexo em HTML, uma falsa página de login da Zimbra será exibida, apresentando o logotipo e a marca da empresa alvo para parecer autêntica.

Além disso, o campo de nome de usuário no formulário de login será preenchido automaticamente, aumentando a legitimidade da página de phishing.

As senhas das contas inseridas no formulário de phishing são enviadas ao servidor do ator da ameaça por meio de uma solicitação HTTPS POST.

A ESET relata que, em alguns casos, os atacantes usam contas de administrador comprometidas para criar novas caixas de correio que são usadas para disseminar e-mails de phishing para outros membros da organização.

Os analistas enfatizam que, apesar da falta de sofisticação nesta campanha, sua propagação e sucesso são impressionantes e os usuários da Zimbra Collaboration devem estar cientes da ameaça.

Os hackers geralmente atacam os servidores de e-mail da Zimbra Collaboration para ciberespionagem a fim de coletar comunicações internas ou usá-los como ponto inicial de violação para se espalhar pela rede da organização alvo.

No início deste ano, a Proofpoint revelou que o grupo de hackers russo 'Winter Vivern' explorou uma falha na Zimbra Collaboration ( CVE-2022-27926 ) para acessar os portais de webmail de organizações alinhadas à OTAN, governos, diplomatas e militares.

No ano passado, a Volexity relatou que um ator de ameaça denominado 'TEMP_Heretic' explorou uma falha então desconhecida ( CVE-2022-23682 ) no produto Zimbra Collaboration para acessar caixas de correio e realizar ataques de phishing lateral.

"A popularidade da Zimbra Collaboration entre organizações esperadas para ter orçamentos de TI menores garante que ela permaneça um alvo atraente para adversários", conclui a ESET.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...