Pesquisadores da ESET descobriram uma campanha massiva de phishing que visa usuários do servidor de e-mail Zimbra Collaboration desde abril. A Zimbra Collaboration é uma plataforma de software colaborativo de núcleo aberto.
A campanha ainda está em andamento e tem como alvo uma ampla gama de pequenas e médias empresas e entidades governamentais. A maioria das vítimas está na Polônia, seguida por Equador e Itália.
As mensagens de phishing incluem uma página de phishing no arquivo HTML anexado: elas avisam o destinatário sobre uma atualização do servidor de e-mail, desativação de conta ou problema semelhante. O conteúdo do e-mail é elaborado para induzir o destinatário a abrir o arquivo anexado. Os invasores também falsificam o campo “De:” do e-mail para parecer um administrador de servidor de e-mail.
O arquivo HTML contém uma página de login falsa do Zimbra adaptada à organização da vítima. A página inclui um campo com o nome de usuário pré-preenchido com o endereço de e-mail em uma tentativa de parecer legítimo. Depois que o destinatário fornece as credenciais, elas são coletadas do formulário HTML e enviadas por meio de uma solicitação HTTPS POST para um servidor sob o controle dos invasores.
Essa campanha se destaca porque os operadores de ameaças também contavam com contas comprometidas de empresas visadas anteriormente. Essa circunstância sugere que os invasores conseguiram controlar as contas de administrador associadas a essas vítimas e as usaram para enviar e-mails para outros alvos em potencial.
Veja isso
Hackers usam falha RCE no Zimbra para promover ataques
Bug UnRAR pode permitir hack a usuários de e-mail do Zimbra
“Curiosamente, em várias ocasiões, observamos ondas subsequentes de e-mails de phishing enviados de contas Zimbra de empresas legítimas anteriormente visadas, como donotreply[redacted]@[redacted].com. É provável que os invasores tenham conseguido comprometer as contas de administrador da vítima e criaram novas caixas de correio que foram usadas para enviar e-mails de phishing para outros alvos”, afirma o relatório publicado pela ESET. “Uma explicação é que o adversário depende da reutilização de senha pelo administrador visado por phishing, ou seja, usando as mesmas credenciais para e-mail e administração. A partir dos dados disponíveis, não podemos confirmar esta hipótese.”
Os pesquisadores apontaram que esta campanha ainda é muito eficaz, apesar de não ser sofisticada. Os servidores Zimbra Collaboration são um alvo atraente para os agentes de ameaças, os pesquisadores destacaram que esta solução é muito popular entre as organizações que devem ter orçamentos de TI mais baixos.