Una nueva campaña de ingeniería social de “difusión masiva” está dirigida a los usuarios del servidor de correo electrónico de Zimbra Collaboration con el objetivo de recopilar sus credenciales de inicio de sesión para usarlas en operaciones de seguimiento.
La actividad, activa desde abril de 2023 y aún en curso, está dirigida a una amplia gama de pequeñas y medianas empresas y entidades gubernamentales, la mayoría de las cuales se encuentran en Polonia, Ecuador, México, Italia y Rusia. No se ha atribuido a ningún actor o grupo de amenazas conocido.
“Inicialmente, el objetivo recibe un correo electrónico con una página de phishing en el archivo HTML adjunto”, dijo Viktor Šperka, investigador de ESET. dicho en un informe “El correo electrónico advierte al objetivo sobre una actualización del servidor de correo electrónico, la desactivación de una cuenta o un problema similar y le indica al usuario que haga clic en el archivo adjunto”.
Los mensajes también falsifican la dirección del remitente para que parezca que provienen de un administrador de Zimbra en un probable intento de convencer a los destinatarios de que abran el archivo adjunto.
El archivo HTML contiene una página de inicio de sesión de Zimbra adaptada a la organización objetivo, con el campo Nombre de usuario prellenado con la dirección de correo electrónico de la víctima para que parezca más auténtico. Una vez que se ingresan las credenciales, se recopilan del formulario HTML y se envían a través de una solicitud HTTPS POST a un servidor controlado por el actor.
Lo que hace que los ataques se destaquen es su capacidad de propagarse aún más. Oleadas posteriores de phishing han aprovechado cuentas de empresas legítimas previamente atacadas, lo que sugiere que las cuentas de administrador infiltradas asociadas con esas víctimas se usaron para enviar correos electrónicos a otras entidades de interés.
“Una explicación es que el adversario se basa en la reutilización de la contraseña por parte del administrador atacado a través del phishing, es decir, que usa las mismas credenciales tanto para el correo electrónico como para la administración”, señaló Šperka.
Si bien la campaña no es técnicamente sofisticada, se basa en el hecho de que “los archivos adjuntos HTML contienen código legítimo y el único elemento revelador es un enlace que apunta al host malicioso” que está incrustado en el código fuente.
“De esta manera, es mucho más fácil eludir las políticas antispam basadas en la reputación, en comparación con las técnicas de phishing en las que se coloca un enlace malicioso directamente en el cuerpo del correo electrónico”, dijo Šperka.