Los investigadores de ESET han descubierto una campaña de phishing de propagación masiva activa desde al menos abril de 2023 y aún en curso dirigida a recopilar las credenciales de los usuarios de cuentas Zimbra. Zimbra Collaboration es una plataforma de software colaborativo de código abierto, una popular alternativa a las soluciones de correo electrónico empresarial. Esta campaña de propagación masiva tiene como objetivo diferentes pequeñas y medianas empresas y entidades gubernamentales.
Según la telemetría de ESET, el mayor número de objetivos se encuentra en Polonia; sin embargo, también se ataca a víctimas de otros países europeos como Ucrania, Italia, Francia y los Países Bajos. Las naciones latinoamericanas también fueron atacadas; Ecuador encabeza la lista de detecciones en esa región.
A pesar de que esta campaña no es particularmente sofisticada desde el punto de vista técnico, es capaz de propagarse y comprometer con éxito a organizaciones que utilizan Zimbra Collaboration. «Los delincuentes aprovechan el hecho de que los archivos HTML adjuntos contienen código legítimo, con el único elemento revelador de un enlace que apunta al host malicioso. De esta forma, es mucho más fácil eludir las políticas antispam basadas en la reputación, especialmente en comparación con las técnicas de phishing más extendidas, en las que un enlace malicioso se coloca directamente en el cuerpo del correo electrónico», explica el investigador de ESET Viktor Šperka, que descubrió la campaña.
«Las organizaciones objetivo varían; los adversarios no se centran en ningún sector específico; lo único que conecta a las víctimas es que utilizan Zimbra«, añade Šperka. La popularidad de Zimbra Collaboration entre las organizaciones que se espera que tengan presupuestos de TI más bajos garantiza que siga siendo un objetivo atractivo para los ciber delincuentes.
Inicialmente, el objetivo recibe un correo electrónico con una página de phishing en el archivo HTML adjunto. Después, el mensaje advierte al destinatario sobre una actualización del servidor de correo electrónico, la desactivación de una cuenta o un problema similar y le pide que haga clic en el archivo adjunto. Tras abrir el archivo adjunto, el usuario se encuentra con una falsa página de inicio de sesión de Zimbra personalizada según la organización objetivo. En segundo plano, las credenciales enviadas se recogen del formulario HTML y se envían a un servidor controlado por los ciber delincuentes. De esta forma, los atacantes son potencialmente capaces de infiltrarse en la cuenta de correo electrónico afectada. Es probable que los atacantes pudieran incluso haber comprometido las cuentas de administrador de la víctima y crear nuevos buzones de correo que luego fueron utilizados para enviar correos electrónicos de phishing a otros objetivos. La campaña observada por ESET se basa únicamente en la ingeniería social y la interacción de los usuarios, sin embargo, puede que no siempre sea así.
Países afectados por la campaña, según la telemetría de ESET
Viktor Šperka. Más información aquí.