Atos de ameaças desconhecidas foram observados tentando explorar uma falha de segurança já corrigida no software de webmail open-source Roundcube, como parte de um ataque de phishing projetado para roubar credenciais de usuários.
A empresa russa de cibersegurança Positive Technologies revelou que descobriu no mês passado que um email foi enviado a uma organização governamental não especificada localizada em um dos países da Comunidade dos Estados Independentes (CEI).
No entanto, vale ressaltar que a mensagem foi originalmente enviada em junho de 2024.
"O email aparentava ser uma mensagem sem texto, contendo apenas um documento anexado," disse em uma análise publicada no início desta semana.
Contudo, o cliente de email não mostrou o anexo. O corpo do email continha tags distintas com o comando eval(atob(...)), que decodifica e executa código JavaScript.
A cadeia de ataque, segundo a Positive Technologies, é uma tentativa de explorar a vulnerabilidade
CVE-2024-37383
(pontuação CVSS: 6.1), uma vulnerabilidade de cross-site scripting (XSS) armazenado via atributos SVG animate que permite a execução de JavaScript arbitrário no contexto do navegador web da vítima.
Dito de outra forma, um atacante remoto poderia carregar código JavaScript arbitrário e acessar informações sensíveis simplesmente enganando um destinatário de email para abrir uma mensagem especialmente criada.
O problema foi resolvido nas versões 1.5.7 e 1.6.7 em maio de 2024.
"Inserindo código JavaScript como valor para 'href', podemos executá-lo na página do Roundcube sempre que um cliente Roundcube abrir um email malicioso," observou a Positive Technologies.
O payload JavaScript, neste caso, salva o anexo vazio do Microsoft Word ("Road map.docx") e então procede para obter mensagens do servidor de email usando o plugin ManageSieve.
Ele também exibe um formulário de login na página HTML exibida ao usuário num esforço para enganar vítimas a fornecerem suas credenciais do Roundcube.
No estágio final, as informações capturadas de nome de usuário e senha são exfiltradas para um servidor remoto ("libcdn[.]org") hospedado no Cloudflare.
Atualmente, não está claro quem está por trás da atividade de exploração, embora falhas anteriores descobertas no Roundcube tenham sido abusadas por múltiplos grupos de hackers como APT28, Winter Vivern e TAG-70.
"Embora o webmail Roundcube possa não ser o cliente de email mais amplamente utilizado, ele permanece um alvo para hackers devido ao seu uso prevalente por agências governamentais," disse a empresa.
Ataques a esse software podem resultar em danos significativos, permitindo que cibercriminosos roubem informações sensíveis.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...