Secondo un rapporto di ESET, almeno dall’aprile 2023 sarebbe ancora in corso una campagna di phishing che tenta di rubare le credenziali per i server di posta elettronica di Zimbra Collaboration in diverse parti del mondo (Italia compresa). Tra gli obiettivi piccole/medie imprese ed enti governativi.
I dettagli della campagna
Gli attacchi inizierebbero con un’e-mail che finge di provenire dall’amministratore dell’organizzazione target che informa gli utenti di un imminente aggiornamento del server di posta elettronica, che comporterà la disattivazione temporanea dell’account.
Il destinatario pertanto è invitato ad aprire un file HTML allegato per vedere le istruzioni su come evitare la disattivazione dall’account. Una volta aperto l’allegato HTML, questo mostrerà una falsa pagina di accesso Zimbra con loghi e marchi dell’azienda presa di mira e con il campo nome utente (username) nel modulo di accesso già precompilato, tutto allo scopo di conferire ulteriore legittimità alla pagina di phishing.
In realtà le credenziali immesse nel form (ZimbraNew) verranno inviate tramite metodo POST al server controllato dall’attore malevolo:
https://<SERVER_ADDRESS>/wp-admin/ZimbraNew.php
Conclusioni
“Nonostante questa campagna non sia tecnicamente così sofisticata, è comunque in grado di diffondere e compromettere con successo le organizzazioni che utilizzano Zimbra Collaboration, che rimane un bersaglio attraente per gli avversari“, afferma il ricercatore malware ESET Viktor Šperka che conclude:
“Gli avversari sfruttano il fatto che gli allegati HTML contengono codice legittimo e l’unico elemento rivelatore è un link che punta all’host dannoso. In questo modo, è molto più facile eludere le politiche antispam basate sulla reputazione, rispetto alle tecniche di phishing in cui un link dannoso viene inserito direttamente nel corpo delle e-mail“.
L’autore della minaccia rimane al momento sconosciuto.