Nonostante la sua semplicità, una campagna di phishing rivolta ai clienti della suite software collaborativa Zimbra si è diffusa in centinaia di organizzazioni in numerosi paesi. Zimbra, una soluzione alternativa alle tradizionali soluzioni email aziendali, ha affrontato vari incidenti di sicurezza nel corso dell’anno.
Dettagli sull’attacco
Zimbra è una suite software collaborativa che include un server email e un client web. Nonostante detenga solo una piccola frazione del mercato, ha subito vari incidenti di sicurezza nel corso dell’anno, tra cui un bug di esecuzione di codice remoto, uno zero-day di cross-site scripting e una campagna di furto di informazioni da parte della Corea del Nord.
Secondo i ricercatori di ESET, da aprile 2023 un attore minaccioso non identificato ha utilizzato email di phishing per ottenere le credenziali di account Zimbra privilegiati. I principali obiettivi sono state piccole e medie imprese, sebbene alcune organizzazioni governative siano state coinvolte nella campagna.
Modalità dell’attacco
Ogni attacco inizia con una generica email di phishing, che sembra provenire direttamente da Zimbra, trasmettendo un messaggio urgente riguardo, ad esempio, un aggiornamento del server o una disattivazione dell’account. L’email allega un file HTML che indirizza l’utente a una pagina di accesso Zimbra generica, personalizzata per la specifica organizzazione bersaglio. La pagina, nonostante sia un file locale, si apre nel browser dell’utente e precompila il campo del nome utente, dando l’impressione di una legittima pagina di accesso Zimbra.
Impatto sui clienti
Qualsiasi utente che inserisca la propria password nella falsa pagina di accesso invierà le informazioni sensibili direttamente agli aggressori. “Nel peggiore dei casi, gli aggressori potrebbero ottenere i privilegi dell’Amministratore di Zimbra e potenzialmente i privilegi di root sul server stesso”, afferma Anton Cherepanov, ricercatore senior di malware per ESET. La Polonia è il paese più colpito da questa campagna, seguita da Ecuador e Italia, con attacchi che raggiungono anche paesi come Messico, Kazakistan e Paesi Bassi.
Raccomandazioni
Per evitare compromissioni, Cherepanov suggerisce di adottare una normale igiene della sicurezza: utilizzare password robuste, autenticazione multi-fattore e aggiornare alla versione più recente di Zimbra.