L’Europa è l’obiettivo di una massiccia campagna di phishing rivolta agli utenti di Zimbra

L’Europa è attualmente l’obiettivo di una massiccia campagna di phishing rivolta agli utenti della piattaforma di collaborazione Zimbra. come rivelato dai ricercatori Eset. Questa campagna, attiva da aprile 2023, si rivolge principalmente alle piccole e medie imprese e agli enti pubblici. Sebbene la Polonia sembri essere il paese più colpito, sono stati presi di mira anche altri paesi europei come Ucraina, Italia, Francia e Paesi Bassi, nonché paesi dell’America Latina, guidati dall’Ecuador.

Secondo la telemetria Eset, la maggior parte degli obiettivi si trova in Polonia. Ma vengono prese di mira anche potenziali vittime in altri paesi europei come Ucraina, Italia, Francia e Paesi Bassi. Anche i paesi dell’America Latina sono colpiti, con l’Ecuador in testa alla lista dei rilevamenti in questa regione.

Sebbene questa campagna non sia particolarmente sofisticata tecnicamente, è in grado di proliferare e compromettere con successo le organizzazioni che utilizzano Zimbra. “Gli aggressori sfruttano il fatto che gli allegati HTML contengono codice legittimo e l’unico elemento dannoso è un collegamento che punta all’host dannoso. In questo modo è facile aggirare i criteri antispam basati sulla reputazione e quelli che tengono traccia del collegamento di phishing inserito direttamente nel corpo dell’e-mail.spiega Viktor Šperka, il ricercatore di Eset che ha scoperto la campagna.

Un attacco in quattro fasi

L’attacco avviene in quattro diverse fasi. Innanzitutto, il bersaglio riceve un’e-mail con una pagina di phishing nel file HTML allegato. L’e-mail rivendica un aggiornamento del server di posta, la disattivazione dell’account o un problema simile e richiede all’utente di fare clic sul file allegato. L’attaccante falsifica anche il campo “Da:” dell’e-mail per impersonare l’amministratore del server di posta.

Dopo aver aperto l’allegato, all’utente viene presentata una finta pagina di login Zimbra personalizzata con i colori dell’organizzazione target. Il file HTML viene aperto nel browser della vittima, il che può indurre la vittima a credere di essere stata reindirizzata alla pagina di accesso legittima, anche se l’URL punta a un percorso di file locale. Si noti che il campo “Nome utente” nel modulo di registrazione è già compilato, il che lo fa apparire più legittimo. In background, i dati di accesso trasmessi vengono raccolti in formato HTML e inviati a un server controllato dall’aggressore tramite richiesta HTTPS POST.

“È interessante notare che in diverse occasioni abbiamo osservato successive ondate di e-mail di phishing inviate da account Zimbra di aziende legittime precedentemente compromesse come donotreply[redacted]@[redacted].com »dice Eset.

Aggira i criteri antispam basati sulla reputazione

È probabile che gli aggressori abbiano manipolato gli account amministratore della vittima e creato nuove caselle di posta, che sono state poi utilizzate per inviare e-mail di phishing ad altri obiettivi. Una spiegazione di ciò è che l’aggressore si affida all’amministratore preso di mira per riutilizzare le password, ovvero utilizzare le stesse credenziali per la posta elettronica e l’amministrazione. “I dati disponibili non ci consentono di confermare questa ipotesi”sconvolto Viktor Šperka.

Sebbene questa campagna non sia tecnicamente sofisticata, è comunque in grado di proliferare e compromettere con successo le organizzazioni che utilizzano Zimbra Collaboration. Gli aggressori sfruttano il fatto che gli allegati HTML contengono codice legittimo e l’unico elemento rivelatore è un collegamento che punta all’host dannoso. In questo modo è molto più facile aggirare i criteri antispam basati sulla reputazione rispetto alle tecniche di phishing, che inseriscono un collegamento dannoso direttamente nel corpo dell’e-mail.

Una strategia di evasione particolarmente efficace

Tradizionalmente, questi criteri valutano l’attendibilità di un messaggio in base all’indirizzo e-mail del mittente, al contenuto del messaggio e ad altre caratteristiche reputazionali. Utilizzando codice HTML legittimo negli allegati e nascondendo il collegamento dannoso, gli aggressori sono in grado di ingannare questi filtri. Inoltre, gestiscono account e-mail aziendali legittimi, rendendo i loro messaggi ancora più credibili e più difficili da identificare come spam o phishing.

L’utilizzo di account aziendali legittimi potrebbe anche indicare che gli aggressori hanno accesso agli account amministratore, consentendo loro di creare nuove caselle di posta per i loro attacchi. Questa strategia di evasione è particolarmente efficace in quanto sfrutta la reputazione consolidata di questi account. Questa strategia già efficace per attirare i filtri antispam è tanto più efficace in quanto si basa sulla popolarità di Zimbra tra le organizzazioni con budget IT più modesti, rendendo questa piattaforma un obiettivo primario.

Alberto Gabriele

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *