Se ha observado que actores de amenazas desconocidos intentan explotar una falla de seguridad ahora parcheada en el software de correo web de código abierto Roundcube como parte de un ataque de phishing diseñado para robar credenciales de usuario.
La empresa rusa de ciberseguridad Positive Technologies dijo que descubrió el mes pasado que se envió un correo electrónico a una organización gubernamental no especificada ubicada en uno de los países de la Comunidad de Estados Independientes (CEI). Sin embargo, cabe señalar que el mensaje se envió originalmente en junio de 2024.
“El correo electrónico parecía ser un mensaje sin texto, que contenía sólo un documento adjunto”, dicho en un análisis publicado a principios de esta semana.
“Sin embargo, el cliente de correo electrónico no mostró el archivo adjunto. El cuerpo del correo electrónico contenía etiquetas distintivas con la declaración eval(atob(…)), que decodifica y ejecuta código JavaScript”.
La cadena de ataque, según Positive Technologies, es un intento de explotar CVE-2024-37383 (Puntuación CVSS: 6.1), una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenadas a través de SVG animado atributos que permiten la ejecución de JavaScript arbitrario en el contexto del navegador web de la víctima.
Dicho de otra manera, un atacante remoto podría cargar código JavaScript arbitrario y acceder a información confidencial simplemente engañando al destinatario de un correo electrónico para que abra un mensaje especialmente diseñado. Desde entonces, el problema ha sido resuelto en las versiones 1.5.7 y 1.6.7 a partir de mayo de 2024.
“Al insertar código JavaScript como valor de “href”, podemos ejecutarlo en la página de Roundcube cada vez que un cliente de Roundcube abre un correo electrónico malicioso”, señaló Positive Technologies.
La carga útil de JavaScript, en este caso, guarda el archivo adjunto vacío de Microsoft Word (“Road map.docx”) y luego procede a obtener mensajes del servidor de correo utilizando el complemento ManageSieve. También muestra un formulario de inicio de sesión en la página HTML que se muestra al usuario en un intento de engañar a las víctimas para que proporcionen sus credenciales de Roundcube.
En la etapa final, la información de nombre de usuario y contraseña capturada se extrae a un servidor remoto (“libcdn[.]organización“) alojado en Cloudflare.
Actualmente no está claro quién está detrás de la actividad de explotación, aunque múltiples grupos de hackers como APT28, Winter Vivern y TAG-70 han abusado de fallas anteriores descubiertas en Roundcube.
“Si bien el correo web Roundcube puede no ser el cliente de correo electrónico más utilizado, sigue siendo un objetivo para los piratas informáticos debido a su uso predominante por parte de agencias gubernamentales”, dijo la compañía. “Los ataques a este software pueden provocar daños importantes y permitir a los ciberdelincuentes robar información confidencial”.
About the Author
