ESET виявив масову фішингову кампанію збору облікових даних користувачів Zimbra
ESET виявив масову фішингову кампанію збору облікових даних користувачів Zimbra
ESET виявив масову фішингову кампанію, спрямовану на збирання облікових даних користувачів Zimbra. Кампанія активна як мінімум з квітня 2023 року і продовжується досі. Zimbra Collaboration – це відкрита програмна платформа для спільної роботи, популярна альтернатива корпоративним поштовим рішенням. Цілями кампанії є різні малі та середні підприємства та державні структури. Відповідно до телеметрії ESET, найбільше цілей перебуває у Польщі; однак жертви в інших європейських країнах, таких як Україна, Італія, Франція та Нідерланди, також є мішенню. Постраждали та латиноамериканські країни; Еквадор очолює список виявлень у цьому регіоні.
Незважаючи на те, що ця кампанія не є особливо складною з технічної точки зору, вона все ж таки може поширюватися і успішно компрометувати організації, які використовують Zimbra Collaboration. «Зловмисники використовують той факт, що вкладення HTML містять законний код, а єдиним контрольним елементом є посилання, що вказує на шкідливий хост. Таким чином, набагато простіше обійти політику захисту від спаму, засновану на репутації, особливо в порівнянні з поширеними методами фішингу, коли шкідливе посилання розміщується безпосередньо в тілі листа», — пояснює дослідник ESET Віктор Шперка, який виявив цю кампанію.
«Цільові організації різняться; зловмисники не фокусуються на якійсь конкретній вертикалі – жертв поєднує лише те, що вони використовують Zimbra», – додає Шперка. Популярність Zimbra Collaboration серед організацій із нижчим ІТ-бюджетом гарантує, що вона залишиться привабливою мішенню для зловмисників.
Спочатку ціль отримує електронний лист з фішинговою сторінкою в прикріпленому HTML-файлі. Електронний лист попереджає мету про оновлення поштового сервера, деактивацію облікового запису або аналогічну проблему та пропонує користувачеві клацнути прикріплений файл. Після відкриття вкладення користувачеві надається підроблена сторінка входу до Zimbra, налаштована відповідно до цільової організації. У фоновому режимі представлені облікові дані збираються з HTML-форми та відправляються на сервер, контрольований зловмисником. Потім зловмисник потенційно може проникнути у порушений обліковий запис електронної пошти. Цілком ймовірно, що зловмисники змогли скомпрометувати облікові записи адміністратора жертви та створити нові поштові скриньки, які потім використовувалися для розсилки фішингових листів іншим цілям. Компанія, за якою стежить ESET, спирається лише на соціальну інженерію та взаємодію з користувачем; однак,
