Phishing, campagna massiva contro utenti Zimbra

Secondo un rapporto di ESET, almeno dall’aprile 2023 sarebbe ancora in corso una campagna di phishing che tenta di rubare le credenziali per i server di posta elettronica di Zimbra Collaboration in diverse parti del mondo (Italia compresa). Tra gli obiettivi piccole/medie imprese ed enti governativi.

Fonte ESET

I dettagli della campagna

Gli attacchi inizierebbero con un’e-mail che finge di provenire dall’amministratore dell’organizzazione target che informa gli utenti di un imminente aggiornamento del server di posta elettronica, che comporterà la disattivazione temporanea dell’account.

Fonte ESET

Il destinatario pertanto è invitato ad aprire un file HTML allegato per vedere le istruzioni su come evitare la disattivazione dall’account. Una volta aperto l’allegato HTML, questo mostrerà una falsa pagina di accesso Zimbra con loghi e marchi dell’azienda presa di mira e con il campo nome utente (username) nel modulo di accesso già precompilato, tutto allo scopo di conferire ulteriore legittimità alla pagina di phishing.

Fonte ESET

In realtà le credenziali immesse nel form (ZimbraNew) verranno inviate tramite metodo POST al server controllato dall’attore malevolo:

https://<SERVER_ADDRESS>/wp-admin/ZimbraNew.php

Fonte ESET

Conclusioni

Nonostante questa campagna non sia tecnicamente così sofisticata, è comunque in grado di diffondere e compromettere con successo le organizzazioni che utilizzano Zimbra Collaboration, che rimane un bersaglio attraente per gli avversari“, afferma il ricercatore malware ESET Viktor Šperka che conclude:

Gli avversari sfruttano il fatto che gli allegati HTML contengono codice legittimo e l’unico elemento rivelatore è un link che punta all’host dannoso. In questo modo, è molto più facile eludere le politiche antispam basate sulla reputazione, rispetto alle tecniche di phishing in cui un link dannoso viene inserito direttamente nel corpo delle e-mail“.

L’autore della minaccia rimane al momento sconosciuto.

Su Salvatore Lombardo 300 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.