São Paulo, Brasil - A equipe de pesquisa daESET, empresa líder em detecção proativa de ameaças, descobriu uma nova campanha massiva de phishing destinada à países da América Latina, em andamento desde abril de 2023, com objetivo de coletar credenciais de contas de usuários da Zimbra Collaboration. A campanha está se espalhando amplamente e tem como alvos uma variedade de pequenas e médias empresas, bem como entidades governamentais.
De acordo com a telemetria da ESET, o maior número de afetados está localizado na Polônia, seguido pelo Equador e Itália. Na América Latina, o ataque em massa teve como alvo também o Brasil, México, Argentina, Chile e Peru. As organizações atacadas são variadas, sem foco em nenhuma vertical específica; a única ligação entre as vítimas é o uso do Zimbra. Até o momento, essa campanha não foi atribuída a nenhum ator de ameaças conhecido.
Gráfico 1. Países-alvo da campanha, de acordo com a telemetria ESET
Inicialmente, o alvo recebe um email com uma página de phishing em um arquivo HTML anexado. O email alerta o usuário sobre uma atualização do servidor de email, desativação da conta ou assunto similar, e instrui a clicar no arquivo anexado. O atacante também falsifica o campo “De:” do email para que pareça vir do administrador do servidor de email.
Figura 2. Aviso em polonês como isca, alertando sobre a desativação da conta Zimbra.
Figura 3. Tradução automática para o inglês do e-mail isca, originalmente em polonês.
Gráfico 4. E-mail de phishing em italiano.
Após abrir o arquivo anexado, o usuário é direcionado para uma página de login falsa do Zimbra personalizada de acordo com a organização à qual pertence. O arquivo HTML é aberto no navegador da vítima, que pode ser levada a acreditar que está sendo redirecionada para uma página legítima, embora a URL esteja apontando para um caminho local. É importante observar que o campo 'Nome de usuário' é preenchido automaticamente no formulário de login, o que o torna ainda mais convincente.
Gráfico 5. Página de login falsa do Zimbra
Exemplo da página legítima de acesso ao webmail do Zimbra para fins de comparação com a versão falsa.
Figura 6. Exemplo da página de início legítima do Zimbra
Em segundo plano, as credenciais enviadas são coletadas do formulário HTML e enviadas por meio de uma solicitação HTTPS POST para o servidor controlado pelo invasor.
"Curiosamente, em várias ocasiões, a ESET observou ondas subsequentes de e-mails de phishing enviados de contas Zimbra previamente direcionadas de empresas legítimas, como donotreply[redacted]@[redacted].com. Os invasores provavelmente têm a capacidade de comprometer o gerente de conta da vítima e criar novas caixas de correio que usariam para enviar e-mails de phishing para outros alvos. Uma explicação é que o invasor usa a reciclagem de senha que pode ser feita pelo administrador atacado – ou seja, usando as mesmas credenciais para e-mail e administração. Com as informações disponíveis, não temos condições de confirmar essa hipótese", diz Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.
De acordo com a ESET, embora a campanha não seja tecnicamente sofisticada, ela é capaz de se espalhar e comprometer organizações que usam a Zimbra Collaboration, tornando-a atraente para os atacantes. ‘O fato de que os anexos HTML contenham código legítimo e o único elemento revelador seja um componente que se conecta a um host malicioso é o que os atacantes exploram. Dessa forma, é mais fácil contornar as políticas antispam em comparação com as técnicas de phishing em que o link está diretamente no corpo do email. A popularidade do Zimbra entre organizações que se espera terem orçamentos de TI mais limitados garante que continue sendo um alvo atrativo para cibercriminosos', concluí Gutiérrez Amaya, da ESET América Latina.
Para saber mais sobre segurança da informação, visite o portal de notícias ESET. A ESET também convida você a conhecer o Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação. Para ouvir, acesse este link.