A equipe de pesquisa da ESET descobriu uma nova campanha massiva de phishing destinada à países da América Latina, em andamento desde abril de 2023, com objetivo de coletar credenciais de contas de usuários da Zimbra Collaboration. A campanha está se espalhando amplamente e tem como alvos uma variedade de pequenas e médias empresas, bem como entidades governamentais.
De acordo com a telemetria da ESET, o maior número de afetados está localizado na Polônia, seguido pelo Equador e Itália. Na América Latina, o ataque em massa teve como alvo também o Brasil, México, Argentina, Chile e Peru. As organizações atacadas são variadas, sem foco em nenhuma vertical específica; a única ligação entre as vítimas é o uso do Zimbra. Até o momento, essa campanha não foi atribuída a nenhum ator de ameaças conhecido.
Inicialmente, o alvo recebe um email com uma página de phishing em um arquivo HTML anexado. O email alerta o usuário sobre uma atualização do servidor de e-mail, desativação da conta ou assunto similar, e instrui a clicar no arquivo anexado. O atacante também falsifica o campo “De:” do email para que pareça vir do administrador do servidor de email.
Após abrir o arquivo anexado, o usuário é direcionado para uma página de login falsa do Zimbra personalizada de acordo com a organização à qual pertence. O arquivo HTML é aberto no navegador da vítima, que pode ser levada a acreditar que está sendo redirecionada para uma página legítima, embora a URL esteja apontando para um caminho local.
É importante observar que o campo ‘Nome de usuário’ é preenchido automaticamente no formulário de login, o que o torna ainda mais convincente.
Em segundo plano, as credenciais enviadas são coletadas do formulário HTML e enviadas por meio de uma solicitação HTTPS POST para o servidor controlado pelo invasor.
“Curiosamente, em várias ocasiões, a ESET observou ondas subsequentes de e-mails de phishing enviados de contas Zimbra previamente direcionadas de empresas legítimas, como donotreply[redacted]@[redacted].com. Os invasores provavelmente têm a capacidade de comprometer o gerente de conta da vítima e criar novas caixas de correio que usariam para enviar e-mails de phishing para outros alvos. Uma explicação é que o invasor usa a reciclagem de senha que pode ser feita pelo administrador atacado – ou seja, usando as mesmas credenciais para e-mail e administração. Com as informações disponíveis, não temos condições de confirmar essa hipótese”, diz Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.
De acordo com a ESET, embora a campanha não seja tecnicamente sofisticada, ela é capaz de se espalhar e comprometer organizações que usam a Zimbra Collaboration, tornando-a atraente para os atacantes.
“O fato de que os anexos HTML contenham código legítimo e o único elemento revelador seja um componente que se conecta a um host malicioso é o que os atacantes exploram. Dessa forma, é mais fácil contornar as políticas antispam em comparação com as técnicas de phishing em que o link está diretamente no corpo do email. A popularidade do Zimbra entre organizações que se espera terem orçamentos de TI mais limitados garante que continue sendo um alvo atrativo para cibercriminosos”, conclui Amaya.