Segundo a ESET, uma campanha de phishing rouba contas de servidores Zimbra no mundo. Confira os detalhes dessa ameaça.
Sim. Uma campanha de phishing contínua está em andamento desde pelo menos abril de 2023, tentando roubar credenciais para servidores de e-mail da Zimbra Collaboration em todo o mundo.
Campanha de phishing rouba contas de servidores Zimbra no mundo
De acordo com um relatório da ESET, e-mails de phishing são enviados para organizações em todo o mundo, sem foco específico em determinadas organizações ou setores. O agente da ameaça por trás dessa operação permanece desconhecido no momento.
Segundo os pesquisadores da ESET, os ataques começam com um e-mail de phishing fingindo ser do administrador de uma organização informando aos usuários sobre uma atualização iminente do servidor de e-mail, o que resultará na desativação temporária da conta.
O destinatário é solicitado a abrir um arquivo HTML anexado para saber mais sobre a atualização do servidor e revisar as instruções sobre como evitar a desativação de contas.
Ao abrir o anexo HTML, uma página de login falsa do Zimbra será exibida, apresentando o logotipo e a marca da empresa visada para parecer autêntica aos alvos.
Além disso, o campo de nome de usuário no formulário de login será pré-preenchido, conferindo ainda mais legitimidade à página de phishing.
As senhas de conta inseridas no formulário de phishing são enviadas ao servidor do agente da ameaça por meio de uma solicitação HTTPS POST.
A ESET relata que, em alguns casos, os invasores usam contas de administrador comprometidas para criar novas caixas de correio usadas para disseminar e-mails de phishing para outros membros da organização.
Os analistas destacam que, apesar da falta de sofisticação desta campanha, sua disseminação e sucesso são impressionantes, e os usuários do Zimbra Collaboration devem estar cientes da ameaça.
Os hackers geralmente visam os servidores de e-mail da Zimbra Collaboration para espionagem cibernética para coletar comunicações internas ou usá-las como um ponto inicial de violação para se espalhar para a rede da organização de destino.
No início deste ano, a Proofpoint revelou que o grupo de hackers russo ‘Winter Vivern’ explorou uma falha do Zimbra Collaboration (CVE-2022-27926) para acessar os portais de webmail de organizações, governos, diplomatas e militares alinhados à OTAN.
No ano passado, a Volexity relatou que um ator de ameaça chamado ‘TEMP_Heretic‘ aproveitou uma falha de dia zero (CVE-2022-23682) no produto Zimbra Collaboration para acessar caixas de correio e realizar ataques laterais de phishing.
“A popularidade do Zimbra Collaboration entre as organizações que devem ter orçamentos de TI mais baixos garante que ele continue sendo um alvo atraente para os adversários”, conclui a ESET.