ESET descubrió una campaña masiva de phishing activa desde al menos abril de 2023, destinada a recolectar credenciales de cuenta de usuarios de Zimbra Collaboration. La campaña se está difundiendo masivamente y sus objetivos son una variedad de pequeñas y medianas empresas, como también entidades gubernamentales.
Zimbra Collaboration es una plataforma colaborativa de software, open-core, y una alternativa muy popular para administrar correos electrónicos empresariales.
De acuerdo a la telemetrÃa de ESET, el mayor número de afectados se localizan en Polonia, seguida por Ecuador e Italia. En Latinoamérica, además, apuntó a objetivos en México, Argentina, Chile, Perú y Brasil.
Las organizaciones atacadas varÃan, no se focaliza en ninguna vertical especÃfica; la única conexión entre las vÃctimas es que utilizan Zimbra. A la fecha, no se ha atribuido esta campaña a ningún actor de amenazas conocido.
PaÃses blanco de la campaña, de acuerdo a la telemetrÃa ESET
Inicialmente, el objetivo recibe un email con una página de phishing en un archivo HTML adjunto. El email advierte al usuario sobre una actualización del servidor de email, desactivación de la cuenta, o un asunto similar, y le ordena hacer clic en el archivo adjunto. El atacante también falsifica el campo De: del correo electrónico para que parezca procedente del administrador del servidor de email.
Advertencia en polaco, como señuelo, advirtiendo sobre la desactivación de la cuenta Zimbra
Traducción automática al inglés del correo señuelo, originalmente en polaco
Email de phishing en italiano.
Luego de abrir el archivo adjunto, al usuario le aparece una página falsa de inicio de sesión a Zimbra personalizada de acuerdo a la organización de pertenencia. El archivo HTML se abre en el navegador de la vÃctima, que puede ser inducida a pensar que está siendo redirigida a una página legÃtima, a pesar de que la URL dirige a una ruta local. Se destaca que el campo “Usernameâ€Â se rellena automáticamente en el formulario de inicio, lo que lo hace parecer más legÃtimo aún.
Página falsa de login en Zimbra
Ejemplo de la página de acceso a webmail de Zimbra legÃtima para compararla con la versión falsa.
Ejemplo de la página de inicio de Zimbra legÃtima
En segundo plano, las credenciales enviadas se recopilan desde el formulario HTML y se envÃan mediante una petición HTTPS POST al servidor que controla el atacante.
