ESET- onderzoekers hebben een massaal verspreide phishingcampagne ontdekt die is gericht op het verzamelen van Zimbra-accountgegevens van gebruikers. De campagne is actief sinds april 2023 en loopt nog steeds. Zimbra Collaboration is een open-kern samenwerkingssoftwareplatform, een populair alternatief voor zakelijke e-mailoplossingen.
De doelwitten van de campagne zijn verschillende kleine en middelgrote bedrijven en overheidsinstellingen. Volgens de telemetrie van ESET bevindt het grootste aantal doelwitten zich in Polen; slachtoffers in andere Europese landen zoals Oekraïne, Italië, Frankrijk en Nederland zijn echter ook het doelwit. Latijns-Amerikaanse landen werden ook getroffen; Ecuador staat bovenaan de lijst van gedetecteerde aanvallen in die regio.
Ondanks het feit dat deze campagne technisch niet bijzonder geavanceerd is, is deze toch in staat om zich te verspreiden en met succes organisaties te compromitteren die Zimbra Collaboration gebruiken. “Aanvallers maken gebruik van het feit dat HTML-bijlagen legitieme code bevatten, met als enige verraderlijke element een link die naar de kwaadaardige host verwijst.
Op deze manier is het veel eenvoudiger om een reputatiegebaseerd antispambeleid te omzeilen, vooral in vergelijking met meer gangbare phishingtechnieken, waarbij een kwaadaardige link direct in de e-mail wordt geplaatst,” legt ESET-onderzoeker Viktor Šperka uit, die de campagne ontdekte.
“Doelorganisaties variëren; aanvallers richten zich niet op een specifieke vertical – het enige wat slachtoffers verbindt, is dat ze Zimbra gebruiken,” voegt Šperka toe. De populariteit van Zimbra Collaboration onder organisaties met lagere IT-budgetten zorgt ervoor dat het een aantrekkelijk doelwit blijft voor aanvallers.
In eerste instantie ontvangt het doelwit een e-mail met een phishingpagina in het bijgevoegde HTML-bestand. In de e-mail wordt het doelwit gewaarschuwd voor een update van de e-mailserver, deactivering van het account of een soortgelijke kwestie en wordt de gebruiker gevraagd op het bijgevoegde bestand te klikken. Na het openen van de bijlage krijgt de gebruiker een valse Zimbra-inlogpagina te zien die is aangepast aan de beoogde organisatie.
Op de achtergrond worden de ingediende gegevens van het HTML-formulier verzameld en naar een server gestuurd die door de aanvaller wordt beheerd. Vervolgens kan de aanvaller mogelijk het getroffen e-mailaccount infiltreren. Het is waarschijnlijk dat de aanvallers in staat waren om de beheerderaccounts van het slachtoffer te compromitteren en nieuwe mailboxen aan te maken die vervolgens werden gebruikt om phishingmails naar andere doelwitten te sturen. De campagne die ESET heeft waargenomen berust alleen op social engineering en gebruikersinteractie; dit is echter niet altijd het geval. beheerderaccounts.
