ESET descubrió una campaña masiva de phishing activa desde al menos abril de 2023, destinada a recolectar credenciales de cuenta de usuarios de Zimbra Collaboration. La campaña se está difundiendo masivamente y sus objetivos son una variedad de pequeñas y medianas empresas, como también entidades gubernamentales.
Zimbra Collaboration es una plataforma colaborativa de software, open-core, y una alternativa muy popular para administrar correos electrónicos empresariales.
De acuerdo a la telemetría de ESET, el mayor número de afectados se localizan en Polonia, seguida por Ecuador e Italia. En Latinoamérica, además, apuntó a objetivos en México, Argentina, Chile, Perú y Brasil.
Las organizaciones atacadas varían, no se focaliza en ninguna vertical específica; la única conexión entre las víctimas es que utilizan Zimbra. A la fecha, no se ha atribuido esta campaña a ningún actor de amenazas conocido.
Países blanco de la campaña, de acuerdo a la telemetría ESET
Inicialmente, el objetivo recibe un email con una página de phishing en un archivo HTML adjunto. El email advierte al usuario sobre una actualización del servidor de email, desactivación de la cuenta, o un asunto similar, y le ordena hacer clic en el archivo adjunto. El atacante también falsifica el campo De: del correo electrónico para que parezca procedente del administrador del servidor de email.
Advertencia en polaco, como señuelo, advirtiendo sobre la desactivación de la cuenta Zimbra
Traducción automática al inglés del correo señuelo, originalmente en polaco
Email de phishing en italiano.
Luego de abrir el archivo adjunto, al usuario le aparece una página falsa de inicio de sesión a Zimbra personalizada de acuerdo a la organización de pertenencia. El archivo HTML se abre en el navegador de la víctima, que puede ser inducida a pensar que está siendo redirigida a una página legítima, a pesar de que la URL dirige a una ruta local. Se destaca que el campo “Username” se rellena automáticamente en el formulario de inicio, lo que lo hace parecer más legítimo aún.
Página falsa de login en Zimbra
Ejemplo de la página de acceso a webmail de Zimbra legítima para compararla con la versión falsa.
Ejemplo de la página de inicio de Zimbra legítima
En segundo plano, las credenciales enviadas se recopilan desde el formulario HTML y se envían mediante una petición HTTPS POST al servidor que controla el atacante.
