Компанія ESET — лідер у галузі інформаційної безпеки — попереджає про поширення нової хвилі фішингових повідомлень, спрямованих на викрадення облікових даних користувачів Zimbra. Шкідливі листи поширюються принаймні з квітня 2023 року і до сьогодні. Зловмисники націлюються на різні підприємства малого та середнього бізнесу, а також державні установи.
За даними телеметрії ESET, найбільша кількість цілей знаходиться в Польщі, однак кіберзлочинці атакують також й інші європейські країни, зокрема Україну, Італію, Францію та Нідерланди, а також деякі латиноамериканські країни.
Варто зазначити, що Zimbra — це відкрита платформа для спільної роботи, яка є популярною альтернативою корпоративним рішенням для електронної пошти.
«Цілями зловмисників є різні організації, а пов’язує жертв лише те, що вони використовують Zimbra», — коментує Віктор Шперка, дослідник ESET. Популярність Zimbra серед організацій, які, ймовірно, мають менші ІТ-бюджети, робить її привабливою мішенню для кіберзлочинців.
Спочатку жертва отримує електронний лист із фішинговою сторінкою у вкладеному файлі HTML. Електронний лист попереджає користувача нібито про оновлення сервера електронної пошти, деактивацію облікового запису чи подібну проблему та спрямовує користувача відкрити вкладений файл.
Після натиснення на нього користувачеві відкривається підроблена сторінка входу в Zimbra, налаштована відповідно до певної організації. У фоновому режимі надіслані облікові дані збираються з форми HTML і надсилаються на сервер, контрольований зловмисниками. Таким чином кіберзлочинці потенційно зможуть проникнути в обліковий запис пошти жертви.
«Зловмисники використовують те, що вкладення HTML містять легітимний код, єдиним небезпечним елементом якого є посилання, яке вказує на шкідливий хост. Таким чином зловмисникам набагато легше обійти політики захисту від спаму на основі репутації, особливо порівняно з більш поширеними методами фішингу, коли шкідливе посилання розміщується безпосередньо в тілі електронного листа», — пояснює Віктор Шперка, дослідник ESET.
Ймовірно, кіберзлочинці змогли скомпрометувати облікові записи адміністратора та створили нові поштові скриньки, які потім використовували для надсилання фішингових листів іншим цілям. Цього разу зловмисники спираються лише на соціальну інженерію та взаємодію з користувачем, однак вони можуть використовувати й інші методи.
У зв’язку з небезпекою спеціалісти ESET рекомендують не переходити за невідомими посиланнями, надісланими через повідомлення в соцмережах або електронних листах, на додаток до паролів використовувати двофакторну автентифікацію для входу в облікові записи та встановити програми для захисту ваших комп’ютерів та мобільних пристроїв від різних загроз, включно з вірусами, фішинг-атаками та іншими видами шкідливих програм.