Une nouvelle campagne d’ingénierie sociale « à diffusion massive » cible les utilisateurs du serveur de messagerie Zimbra Collaboration dans le but de collecter leurs identifiants de connexion pour les utiliser dans les opérations de suivi.
L’activité, active depuis avril 2023 et toujours en cours, cible un large éventail de petites et moyennes entreprises et d’entités gouvernementales, dont la plupart sont situées en Pologne, en Équateur, au Mexique, en Italie et en Russie. Il n’a été attribué à aucun acteur ou groupe de menace connu.
« Au départ, la cible reçoit un e-mail avec une page de phishing dans le fichier HTML joint », a déclaré Viktor Šperka, chercheur chez ESET. dit dans un rapport. « L’e-mail avertit la cible d’une mise à jour du serveur de messagerie, d’une désactivation de compte ou d’un problème similaire et invite l’utilisateur à cliquer sur le fichier joint. »
Les messages usurpent également l’adresse d’expédition pour apparaître comme s’ils provenaient d’un administrateur Zimbra dans le but probable de convaincre les destinataires d’ouvrir la pièce jointe.
Le fichier HTML contient une page de connexion Zimbra adaptée à l’organisation ciblée, avec le champ Nom d’utilisateur pré-rempli avec l’adresse e-mail de la victime pour la rendre plus authentique. Une fois les informations d’identification saisies, elles sont collectées à partir du formulaire HTML et envoyées via une requête HTTPS POST à un serveur contrôlé par l’acteur.
Ce qui distingue les attaques, c’est leur capacité à se propager davantage. Les vagues de phishing suivantes ont exploité les comptes d’entreprises légitimes précédemment ciblées, suggérant que les comptes d’administrateur infiltrés associés à ces victimes ont été utilisés pour envoyer des e-mails à d’autres entités d’intérêt.
« Une explication est que l’adversaire s’appuie sur la réutilisation du mot de passe par l’administrateur ciblé par le phishing, c’est-à-dire en utilisant les mêmes informations d’identification pour le courrier électronique et l’administration », a noté Šperka.
Bien que la campagne ne soit pas techniquement sophistiquée, elle mise sur le fait que « les pièces jointes HTML contiennent du code légitime, et le seul élément révélateur est un lien pointant vers l’hôte malveillant » qui est intégré dans le code source.
« De cette façon, il est beaucoup plus facile de contourner les politiques anti-spam basées sur la réputation, par rapport aux techniques de phishing où un lien malveillant est directement placé dans le corps de l’e-mail », a déclaré Šperka.