Contenido Exclusivo

Campaña masiva de phishing ataca en América Latina

ESET descubrió una campaña masiva de phishing activa desde al menos abril de 2023, destinada a recolectar credenciales de cuenta de usuarios de Zimbra Collaboration. La campaña se está difundiendo masivamente y sus objetivos son una variedad de pequeñas y medianas empresas, como también entidades gubernamentales.

Zimbra Collaboration es una plataforma colaborativa de software, open-core, y una alternativa muy popular para administrar correos electrónicos empresariales.

De acuerdo a la telemetría de ESET, el mayor número de afectados se localizan en Polonia, seguida por Ecuador e Italia. En Latinoamérica, además, apuntó a objetivos en México, Argentina, Chile, Perú y Brasil.

Las organizaciones atacadas varían, no se focaliza en ninguna vertical específica; la única conexión entre las víctimas es que utilizan Zimbra. A la fecha, no se ha atribuido esta campaña a ningún actor de amenazas conocido.

Countried hit by the campaign

Países blanco de la campaña, de acuerdo a la telemetría ESET

Inicialmente, el objetivo recibe un email con una página de phishing en un archivo HTML adjunto. El email advierte al usuario sobre una actualización del servidor de email, desactivación de la cuenta, o un asunto similar, y le ordena hacer clic en el archivo adjunto. El atacante también falsifica el campo De: del correo electrónico para que parezca procedente del administrador del servidor de email.

Zimbra warning

Advertencia en polaco, como señuelo, advirtiendo sobre la desactivación de la cuenta Zimbra

Translated lure email

Traducción automática al inglés del correo señuelo, originalmente en polaco

Lure email in italian

Email de phishing en italiano.

Luego de abrir el archivo adjunto, al usuario le aparece una página falsa de inicio de sesión a Zimbra personalizada de acuerdo a la organización de pertenencia. El archivo HTML se abre en el navegador de la víctima, que puede ser inducida a pensar que está siendo redirigida a una página legítima, a pesar de que la URL dirige a una ruta local. Se destaca que el campo “Username” se rellena automáticamente en el formulario de inicio, lo que lo hace parecer más legítimo aún.

Fake login

Página falsa de login en Zimbra

Ejemplo de la página de acceso a webmail de Zimbra legítima para compararla con la versión falsa.

Legitimate login

Ejemplo de la página de inicio de Zimbra legítima

En segundo plano, las credenciales enviadas se recopilan desde el formulario HTML y se envían mediante una petición HTTPS POST al servidor que controla el atacante.

Lo Más Reciente

Nueva solución de firma electrónica que brinda certeza jurídica a documentos digitales

En el marco de Zoholics 2024, Zoho Corporation presentó...

14 habilidades más valoradas en el mercado laboral

¿Sabe usted cuáles son las habilidades más valoradas en...

Web3 transformará la lealtad de clientes con blockchain

Los programas de lealtad han sido un pilar en...

El gran reto en el uso de las nuevas tecnologías e IA en la educación

Ante un panorama complejo en donde las tecnologías disruptivas...

Newsletter

Recibe lo último en noticias e información exclusiva.

Nueva solución de firma electrónica que brinda certeza jurídica a documentos digitales

En el marco de Zoholics 2024, Zoho Corporation presentó oficialmente Zoho Sign México, su premiada aplicación internacional para firma electrónica, que ahora cuenta con...

14 habilidades más valoradas en el mercado laboral

¿Sabe usted cuáles son las habilidades más valoradas en el mercado? Las soft skills son atributos individuales no técnicos que le permiten mantener buenas...

Web3 transformará la lealtad de clientes con blockchain

Los programas de lealtad han sido un pilar en las estrategias de marketing durante décadas, ayudando a las marcas a atraer y retener clientes...