Contenido Exclusivo

¡Convocatoria Abierta! Los Mejores 20 CISO de México 2024

CIO Ediworld le invita a participar en la tercera edición...

VIDEO: Machine learning para diagnóstico oportuno de enfermedades: Guillermo Murra, GE Healthcare

En entrevista con CIO Ediworld, Guillermo Murra, Director Ejecutivo...

Campaña masiva de phishing ataca en América Latina

ESET descubrió una campaña masiva de phishing activa desde al menos abril de 2023, destinada a recolectar credenciales de cuenta de usuarios de Zimbra Collaboration. La campaña se está difundiendo masivamente y sus objetivos son una variedad de pequeñas y medianas empresas, como también entidades gubernamentales.

Zimbra Collaboration es una plataforma colaborativa de software, open-core, y una alternativa muy popular para administrar correos electrónicos empresariales.

De acuerdo a la telemetría de ESET, el mayor número de afectados se localizan en Polonia, seguida por Ecuador e Italia. En Latinoamérica, además, apuntó a objetivos en México, Argentina, Chile, Perú y Brasil.

Las organizaciones atacadas varían, no se focaliza en ninguna vertical específica; la única conexión entre las víctimas es que utilizan Zimbra. A la fecha, no se ha atribuido esta campaña a ningún actor de amenazas conocido.

Countried hit by the campaign

Países blanco de la campaña, de acuerdo a la telemetría ESET

Inicialmente, el objetivo recibe un email con una página de phishing en un archivo HTML adjunto. El email advierte al usuario sobre una actualización del servidor de email, desactivación de la cuenta, o un asunto similar, y le ordena hacer clic en el archivo adjunto. El atacante también falsifica el campo De: del correo electrónico para que parezca procedente del administrador del servidor de email.

Zimbra warning

Advertencia en polaco, como señuelo, advirtiendo sobre la desactivación de la cuenta Zimbra

Translated lure email

Traducción automática al inglés del correo señuelo, originalmente en polaco

Lure email in italian

Email de phishing en italiano.

Luego de abrir el archivo adjunto, al usuario le aparece una página falsa de inicio de sesión a Zimbra personalizada de acuerdo a la organización de pertenencia. El archivo HTML se abre en el navegador de la víctima, que puede ser inducida a pensar que está siendo redirigida a una página legítima, a pesar de que la URL dirige a una ruta local. Se destaca que el campo “Username” se rellena automáticamente en el formulario de inicio, lo que lo hace parecer más legítimo aún.

Fake login

Página falsa de login en Zimbra

Ejemplo de la página de acceso a webmail de Zimbra legítima para compararla con la versión falsa.

Legitimate login

Ejemplo de la página de inicio de Zimbra legítima

En segundo plano, las credenciales enviadas se recopilan desde el formulario HTML y se envían mediante una petición HTTPS POST al servidor que controla el atacante.

Lo Más Reciente

Mujeres en carreras STEM: el futuro de México

En el marco del Día Internacional de la Mujer...

El nearshoring no funcionará sin el CRM: Expand Latam

El nearshoring dejó de ser un sueño lejano para...

Un enfoque basado en riesgos ayudará a las empresas a enfrentar los crecientes ciberataques

Las soluciones de seguridad están adquiriendo más importancia en...

Newsletter

Recibe lo último en noticias e información exclusiva.

Mujeres en carreras STEM: el futuro de México

En el marco del Día Internacional de la Mujer en la Ingeniería, PepsiCo México refuerza su compromiso con estudiantes mujeres interesadas en las carreras...

El nearshoring no funcionará sin el CRM: Expand Latam

El nearshoring dejó de ser un sueño lejano para convertirse en una realidad que ya está beneficiando a muchas empresas mexicanas, en un territorio...

Un enfoque basado en riesgos ayudará a las empresas a enfrentar los crecientes ciberataques

Las soluciones de seguridad están adquiriendo más importancia en la mente de los responsables de la toma de decisiones corporativas. Pero en un esfuerzo...