CAMPAÑA DE PHISHING MASIVA A TRAVÉS DE ZIMBRA ATACA TAMBIÉN A AMÉRICA LATINA
Investigadores de ESET descubrieron una campaña masiva de phishing, activa desde al menos abril de 2023, destinada a recolectar credenciales de cuentas de usuarios de Zimbra Collaboration. La campaña se está difundiendo masivamente y sus objetivos son una variedad de pequeñas y medianas empresas, como también entidades gubernamentales.
Zimbra Collaboration es una plataforma colaborativa de software, open-core, y una alternativa muy popular para administrar correos electrónicos empresariales.
De acuerdo a la telemetría de ESET, el mayor número de afectados se localizan en Polonia, seguida por Ecuador e Italia. En Latinoamérica, además, apuntó a objetivos en México, Argentina, Chile, Perú y Brasil.
Las organizaciones atacadas varían, no se focaliza en ninguna vertical específica; la única conexión entre las víctimas es que utilizan Zimbra. A la fecha, no hemos atribuido esta campaña a ningún actor de amenazas conocido
Inicialmente, el objetivo recibe un correo electrónico con una página de phishing en un archivo HTML adjunto. el mensaje advierte al usuario sobre una actualización del servidor, desactivación de la cuenta, o un asunto similar, y le ordena hacer clic en el archivo adjuntado. El atacante también falsifica el campo From: para que parezca procedente del administrador del servidor.
Curiosamente, en varias ocasiones, observamos oleadas posteriores de emails de phishing enviados desde cuentas de Zimbra que habían sido atacadas previamente, de compañías legítimas, como donotreply[redacted]@[redacted].com. Es probable que los atacantes tengan la capacidad de comprometer el administrador de cuentas de la víctima y de crear nuevos buzones de correo que usarían para enviar correos de phishing a otros objetivos. Una explicación es que el atacante se vale del reciclado de contraseñas que pueda hacer el administrador atacado – por ej. que utilice las mismas credenciales para el email y para la administración. Con la información disponible, no estamos en condiciones de confirmar esta hipótesis.
La campaña observada por ESET se vale de ingeniería social y la interacción con el usuario; de todas formas, este puede no ser el caso. En una campaña anterior, descrita por Proofpoint en marzo de 2023, el grupo Winter Vivern (aka TA473) ha estado explotando la vulnerabilidad CVE-2022-27926, con el objetivo puesto en portales de webmail de entidades militares, gubernamentales y diplomáticas de países de Europa. Otro ejemplo, reportado por Volexity en febrero de 2022, en el que un grupo llamado TEMP_Heretic filtró los correos de gobiernos europeos y medios abusando de otra vulnerabilidad (CVE-2022-24682) en la funcionalidad de calendario en Zimbra Collaboration. En la mención más reciente, investigadores de EclecticIQ analizaron una campaña parecida a la que describimos. La principal diferencia es que el enlace HTML que lleva a la página falsa de Zimbra se localiza directamente en el cuerpo del email.
Conclusión
A pesar de que la campaña no es sofisticada, técnicamente hablando, es capaz de difundirse y comprometer a las organizaciones que usan Zimbra Collaboration, lo que la hace atractiva para los atacantes. El hecho de que los adjuntos HTML contengan código legítimo, y el único elemento revelador sea un elemento que conecta con un host malicioso, es lo que los atacantes aprovechan. De esta forma, es mucho más fácil eludir las políticas antispam, en comparación a las técnicas de phishing en las que el link está directamente en el cuerpo del correo electrónico. La popularidad de Zimbra entre las organizaciones de las que se espera que tengan menor presupuesto en IT, asegura que siga siendo un objetivo atractivo para los cibercriminales.
Añadir nuevo comentario