Campanha de phishing rouba contas de servidores Zimbra no mundo

Segundo a ESET, uma campanha de phishing rouba contas de servidores Zimbra no mundo. Confira os detalhes dessa ameaça.

Sim. Uma campanha de phishing contínua está em andamento desde pelo menos abril de 2023, tentando roubar credenciais para servidores de e-mail da Zimbra Collaboration em todo o mundo.

Campanha de phishing rouba contas de servidores Zimbra no mundo

Campanha de phishing rouba contas de servidores Zimbra no mundo
Campanha de phishing rouba contas de servidores Zimbra no mundo – Mapa de calor de alvos (ESET)

De acordo com um relatório da ESET, e-mails de phishing são enviados para organizações em todo o mundo, sem foco específico em determinadas organizações ou setores. O agente da ameaça por trás dessa operação permanece desconhecido no momento.

Segundo os pesquisadores da ESET, os ataques começam com um e-mail de phishing fingindo ser do administrador de uma organização informando aos usuários sobre uma atualização iminente do servidor de e-mail, o que resultará na desativação temporária da conta.

O destinatário é solicitado a abrir um arquivo HTML anexado para saber mais sobre a atualização do servidor e revisar as instruções sobre como evitar a desativação de contas.

Campanha de phishing rouba contas de servidores Zimbra no mundo
Campanha de phishing rouba contas de servidores Zimbra no mundo – Conteúdo de e-mail de phishing (ESET)

Ao abrir o anexo HTML, uma página de login falsa do Zimbra será exibida, apresentando o logotipo e a marca da empresa visada para parecer autêntica aos alvos.

Além disso, o campo de nome de usuário no formulário de login será pré-preenchido, conferindo ainda mais legitimidade à página de phishing.

Campanha de phishing rouba contas de servidores Zimbra no mundo
Campanha de phishing rouba contas de servidores Zimbra no mundo – Página de phishing do Zimbra (ESET)

As senhas de conta inseridas no formulário de phishing são enviadas ao servidor do agente da ameaça por meio de uma solicitação HTTPS POST.
Código que exfiltra a entrada do usuário
Campanha de phishing rouba contas de servidores Zimbra no mundo – Código que exfiltra a entrada do usuário (ESET)

A ESET relata que, em alguns casos, os invasores usam contas de administrador comprometidas para criar novas caixas de correio usadas para disseminar e-mails de phishing para outros membros da organização.

Os analistas destacam que, apesar da falta de sofisticação desta campanha, sua disseminação e sucesso são impressionantes, e os usuários do Zimbra Collaboration devem estar cientes da ameaça.

Os hackers geralmente visam os servidores de e-mail da Zimbra Collaboration para espionagem cibernética para coletar comunicações internas ou usá-las como um ponto inicial de violação para se espalhar para a rede da organização de destino.

No início deste ano, a Proofpoint revelou que o grupo de hackers russo ‘Winter Vivern’ explorou uma falha do Zimbra Collaboration (CVE-2022-27926) para acessar os portais de webmail de organizações, governos, diplomatas e militares alinhados à OTAN.

No ano passado, a Volexity relatou que um ator de ameaça chamado ‘TEMP_Heretic‘ aproveitou uma falha de dia zero (CVE-2022-23682) no produto Zimbra Collaboration para acessar caixas de correio e realizar ataques laterais de phishing.

“A popularidade do Zimbra Collaboration entre as organizações que devem ter orçamentos de TI mais baixos garante que ele continue sendo um alvo atraente para os adversários”, conclui a ESET.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.