ESET обнаружил массовую фишинговую кампанию сбора учетных данных пользователей Zimbra
ESET обнаружил массовую фишинговую кампанию сбора учетных данных пользователей Zimbra
ESET обнаружил массовую фишинговую кампанию, направленную на сбор учетных данных пользователей Zimbra. Кампания активна как минимум с апреля 2023 года и продолжается до сих пор. Zimbra Collaboration — это открытая программная платформа для совместной работы, популярная альтернатива корпоративным почтовым решениям. Целями кампании являются различные малые и средние предприятия и государственные структуры. Согласно телеметрии ESET, наибольшее количество целей находится в Польше; однако жертвы в других европейских странах, таких как Украина, Италия, Франция и Нидерланды, также являются мишенью. Пострадали и латиноамериканские страны; Эквадор возглавляет список обнаружений в этом регионе.
Несмотря на то, что эта кампания не является особенно сложной с технической точки зрения, она все же может распространяться и успешно компрометировать организации, использующие Zimbra Collaboration. «Злоумышленники используют тот факт, что вложения HTML содержат законный код, а единственным контрольным элементом является ссылка, указывающая на вредоносный хост. Таким образом, намного проще обойти политику защиты от спама, основанную на репутации, особенно по сравнению с более распространенными методами фишинга, когда вредоносная ссылка размещается непосредственно в теле письма», — объясняет исследователь ESET Виктор Шперка, обнаруживший эту кампанию.
«Целевые организации различаются; злоумышленники не фокусируются на какой-то конкретной вертикали — жертв объединяет только то, что они используют Zimbra», — добавляет Шперка. Популярность Zimbra Collaboration среди организаций с более низким ИТ-бюджетом гарантирует, что она останется привлекательной мишенью для злоумышленников.
Первоначально цель получает электронное письмо с фишинговой страницей в прикрепленном HTML-файле. Электронное письмо предупреждает цель об обновлении почтового сервера, деактивации учетной записи или аналогичной проблеме и предлагает пользователю щелкнуть прикрепленный файл. После открытия вложения пользователю предоставляется поддельная страница входа в Zimbra, настроенная в соответствии с целевой организацией. В фоновом режиме представленные учетные данные собираются из HTML-формы и отправляются на сервер, контролируемый злоумышленником. Затем злоумышленник потенциально может проникнуть в затронутую учетную запись электронной почты. Вполне вероятно, что злоумышленники смогли скомпрометировать учетные записи администратора жертвы и создать новые почтовые ящики, которые затем использовались для рассылки фишинговых писем другим целям. Кампания, за которой следит ESET, опирается только на социальную инженерию и взаимодействие с пользователем; однако,
