A equipe de pesquisa da ESET descobriu uma nova campanha massiva de phishing destinada à países da América Latina, em andamento desde abril de 2023, com objetivo de coletar credenciais de contas de usuários da Zimbra Collaboration. Segundo a empresa, campanha está se espalhando amplamente e tem como alvos uma variedade de pequenas e médias empresas, bem como entidades governamentais.
De acordo com a telemetria da ESET, o maior número de afetados está localizado na Polônia, seguido pelo Equador e Itália. Na América Latina, o ataque em massa teve como alvo também o Brasil, México, Argentina, Chile e Peru. As organizações atacadas são variadas, sem foco em nenhuma vertical específica; a única ligação entre as vítimas é o uso do Zimbra. Até o momento, essa campanha não foi atribuída a nenhum ator de ameaças conhecido.
Países-alvo da campanha, de acordo com a telemetria ESET
Inicialmente, o alvo recebe um email com uma página de phishing em um arquivo HTML anexado. O email alerta o usuário sobre uma atualização do servidor de email, desativação da conta ou assunto similar, e instrui a clicar no arquivo anexado. O atacante também falsifica o campo "De:" do email para que pareça vir do administrador do servidor de email.
Aviso em polonês como isca, alertando sobre a desativação da conta Zimbra
Após abrir o arquivo anexado, o usuário é direcionado para uma página de login falsa do Zimbra personalizada de acordo com a organização à qual pertence. O arquivo HTML é aberto no navegador da vítima, que pode ser levada a acreditar que está sendo redirecionada para uma página legítima, embora a URL esteja apontando para um caminho local. É importante observar que o campo 'Nome de usuário' é preenchido automaticamente no formulário de login, o que o torna ainda mais convincente.
"Curiosamente, em várias ocasiões, a ESET observou ondas subsequentes de e-mails de phishing enviados de contas Zimbra previamente direcionadas de empresas legítimas, como donotreply[redacted]@[redacted].com. Os invasores provavelmente têm a capacidade de comprometer o gerente de conta da vítima e criar novas caixas de correio que usariam para enviar e-mails de phishing para outros alvos. Uma explicação é que o invasor usa a reciclagem de senha que pode ser feita pelo administrador atacado – ou seja, usando as mesmas credenciais para e-mail e administração. Com as informações disponíveis, não temos condições de confirmar essa hipótese", diz Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.
De acordo com a ESET, embora a campanha não seja tecnicamente sofisticada, ela é capaz de se espalhar e comprometer organizações que usam a Zimbra Collaboration, tornando-a atraente para os atacantes.
