Descubierta una campaña de phishing contra usuarios de Zimbra

Los expertos de ESET han identificado una campaña de phishing de gran alcance que ha estado en marcha desde al menos abril de 2023 y que continúa activa. El objetivo principal de esta campaña es obtener de manera fraudulenta las credenciales de los usuarios de cuentas Zimbra. Zimbra Collaboration, una plataforma de colaboración de código abierto, es una opción popular para comunicaciones empresariales en lugar de las soluciones tradicionales de correo electrónico.

Esta campaña masiva se enfoca en afectar a pequeñas y medianas empresas, así como a entidades gubernamentales. La mayoría de los objetivos están localizados en Polonia, pero también se han dirigido a organizaciones en otros países europeos, como Ucrania, Italia, Francia y los Países Bajos. Además, naciones latinoamericanas, en particular Ecuador, también han sido blanco de estos ataques.A pesar de que esta campaña no es especialmente avanzada desde el punto de vista técnico, ha logrado propagarse y comprometer con éxito organizaciones que dependen de Zimbra Collaboration.

Consideración de los expertos de ESET

Según Viktor Šperka, investigador de ESET responsable de descubrir la campaña, desde la compañía consideran que: “Los delincuentes aprovechan el hecho de que los archivos HTML adjuntos contienen código legítimo, con el único elemento revelador de un enlace que apunta al host malicioso. De esta forma, es mucho más fácil eludir las políticas antispam basadas en la reputación, especialmente en comparación con las técnicas de phishing más extendidas, en las que un enlace malicioso se coloca directamente en el cuerpo del correo electrónico.”

“Las organizaciones objetivo varían; los adversarios no se centran en ningún sector específico; lo único que conecta a las víctimas es que utilizan Zimbra. La popularidad de Zimbra Collaboration entre las organizaciones que se espera que tengan presupuestos de TI más bajos garantiza que siga siendo un objetivo atractivo para los ciber delincuentes.”, ha añadido Šperka.

Patrón de ataque

El ataque sigue un patrón en el que la víctima recibe un correo electrónico con un archivo HTML adjunto que lleva a una página de phishing. El mensaje engañoso notifica al destinatario sobre una supuesta actualización del servidor de correo, la suspensión de la cuenta u otro problema similar, y le solicita hacer clic en el archivo adjunto. Una vez que se abre el archivo, el usuario se enfrenta a una falsa página de inicio de sesión de Zimbra diseñada específicamente para la organización objetivo. Mientras el usuario completa sus credenciales en la página falsa, estas se capturan en segundo plano y se envían a un servidor controlado por los ciberdelincuentes. Esto potencialmente les permite acceder a la cuenta de correo electrónico comprometida.

Además, existe la posibilidad de que los atacantes hayan accedido incluso a cuentas administrativas y hayan creado nuevos buzones de correo para enviar correos de phishing a otros objetivos. Si bien la campaña identificada por ESET se basa en gran medida en la manipulación social y la interacción con los usuarios, se advierte que esta táctica podría evolucionar en el futuro.