Collaborazione Zimbraè una piattaforma software collaborativa open-core scelta come alternativa alle soluzioni di posta elettronica aziendali. Diverse piccole e medie imprese e agenzie governative sono tra gli obiettivi dell’attacco.

ESET per distanza, il maggior numero di bersagli Polonianel frattempo Ucraina, Italia, Francia e Paesi Bassi Sono state prese di mira anche vittime di altri paesi europei. Mentre anche i paesi latinoamericani sono esposti agli attacchi Ecuador in cima alla lista nella regione.

Sebbene questo attacco non sia tecnicamente molto avanzato, può comunque diffondersi e impossessarsi delle organizzazioni che utilizzano Zimbra Collaboration. Il ricercatore ESET Viktor Šperka, che ha scoperto l’attacco, ha dichiarato: “Gli aggressori sfruttano gli allegati HTML contenenti codice legittimo e la loro unica indicazione è un collegamento che punta all’host dannoso. In questo modo, le politiche antispam basate sulla reputazione sono molto più facili da aggirare rispetto alle tecniche di phishing, in cui un collegamento dannoso viene inserito direttamente nel corpo dell’e-mail. lui spiega.

“Le organizzazioni bersaglio variano e l’unica cosa che le vittime hanno in comune è che usano Zimbra”, aggiunge il ricercatore. La popolarità di Zimbra Collaboration tra le organizzazioni che probabilmente dispongono di budget IT inferiori l’ha resa un obiettivo attraente per gli aggressori.

Il bersaglio riceve prima un’e-mail con una pagina di phishing nel file HTML allegato. L’e-mail avvisa la destinazione di un aggiornamento del server di posta, della disattivazione dell’account o di un problema simile e richiede all’utente di fare clic sul file allegato. Dopo aver aperto l’allegato, l’utente vede una falsa pagina di accesso Zimbra personalizzata per l’organizzazione presa di mira. In background, le credenziali inviate vengono raccolte dal modulo HTML e inviate a un server controllato su richiesta dell’aggressore. Quindi l’attaccante potrebbe potenzialmente infiltrarsi nell’account di posta elettronica interessato. È probabile che gli aggressori compromettano gli account amministratore delle vittime e creino nuove caselle di posta che vengono utilizzate per inviare e-mail di phishing ad altri obiettivi. L’attacco osservato da ESET si basa sull’ingegneria sociale e sull’interazione dell’utente, sebbene ciò non sia sempre possibile.