Uma campanha de phishing em andamento tem ocorrido desde pelo menos abril de 2023, que tenta roubar credenciais para servidores de email da Zimbra Collaboration em todo o mundo.
De acordo com um relatório da ESET, e-mails de phishing são enviados a organizações em todo o mundo, sem foco específico em determinadas organizações ou setores.
O ator da ameaça por trás dessa operação permanece desconhecido até o momento.
Segundo os pesquisadores da ESET, os ataques começam com um e-mail de phishing fingindo ser de um administrador da organização informando aos usuários sobre uma iminente atualização do servidor de email, o que resultará na desativação temporária da conta.
O destinatário é solicitado a abrir um arquivo HTML anexado para saber mais sobre a atualização do servidor e revisar instruções sobre como evitar a desativação das contas.
Ao abrir o anexo em HTML, uma falsa página de login da Zimbra será exibida, apresentando o logotipo e a marca da empresa alvo para parecer autêntica.
Além disso, o campo de nome de usuário no formulário de login será preenchido automaticamente, aumentando a legitimidade da página de phishing.
As senhas das contas inseridas no formulário de phishing são enviadas ao servidor do ator da ameaça por meio de uma solicitação HTTPS POST.
A ESET relata que, em alguns casos, os atacantes usam contas de administrador comprometidas para criar novas caixas de correio que são usadas para disseminar e-mails de phishing para outros membros da organização.
Os analistas enfatizam que, apesar da falta de sofisticação nesta campanha, sua propagação e sucesso são impressionantes e os usuários da Zimbra Collaboration devem estar cientes da ameaça.
Os hackers geralmente atacam os servidores de e-mail da Zimbra Collaboration para ciberespionagem a fim de coletar comunicações internas ou usá-los como ponto inicial de violação para se espalhar pela rede da organização alvo.
No início deste ano, a Proofpoint revelou que o grupo de hackers russo 'Winter Vivern' explorou uma falha na Zimbra Collaboration (
CVE-2022-27926
) para acessar os portais de webmail de organizações alinhadas à OTAN, governos, diplomatas e militares.
No ano passado, a Volexity relatou que um ator de ameaça denominado 'TEMP_Heretic' explorou uma falha então desconhecida (
CVE-2022-23682
) no produto Zimbra Collaboration para acessar caixas de correio e realizar ataques de phishing lateral.
"A popularidade da Zimbra Collaboration entre organizações esperadas para ter orçamentos de TI menores garante que ela permaneça um alvo atraente para adversários", conclui a ESET.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...