Categories: CiberguerraSeguridad

Descubierta una campaña de phishing contra usuarios de Zimbra

Los expertos de ESET han identificado una campaña de phishing de gran alcance que ha estado en marcha desde al menos abril de 2023 y que continúa activa. El objetivo principal de esta campaña es obtener de manera fraudulenta las credenciales de los usuarios de cuentas Zimbra. Zimbra Collaboration, una plataforma de colaboración de código abierto, es una opción popular para comunicaciones empresariales en lugar de las soluciones tradicionales de correo electrónico.

Esta campaña masiva se enfoca en afectar a pequeñas y medianas empresas, así como a entidades gubernamentales. La mayoría de los objetivos están localizados en Polonia, pero también se han dirigido a organizaciones en otros países europeos, como Ucrania, Italia, Francia y los Países Bajos. Además, naciones latinoamericanas, en particular Ecuador, también han sido blanco de estos ataques.A pesar de que esta campaña no es especialmente avanzada desde el punto de vista técnico, ha logrado propagarse y comprometer con éxito organizaciones que dependen de Zimbra Collaboration.

Consideración de los expertos de ESET

Según Viktor Šperka, investigador de ESET responsable de descubrir la campaña, desde la compañía consideran que: “Los delincuentes aprovechan el hecho de que los archivos HTML adjuntos contienen código legítimo, con el único elemento revelador de un enlace que apunta al host malicioso. De esta forma, es mucho más fácil eludir las políticas antispam basadas en la reputación, especialmente en comparación con las técnicas de phishing más extendidas, en las que un enlace malicioso se coloca directamente en el cuerpo del correo electrónico.”

“Las organizaciones objetivo varían; los adversarios no se centran en ningún sector específico; lo único que conecta a las víctimas es que utilizan Zimbra. La popularidad de Zimbra Collaboration entre las organizaciones que se espera que tengan presupuestos de TI más bajos garantiza que siga siendo un objetivo atractivo para los ciber delincuentes.”, ha añadido Šperka.

Patrón de ataque

El ataque sigue un patrón en el que la víctima recibe un correo electrónico con un archivo HTML adjunto que lleva a una página de phishing. El mensaje engañoso notifica al destinatario sobre una supuesta actualización del servidor de correo, la suspensión de la cuenta u otro problema similar, y le solicita hacer clic en el archivo adjunto. Una vez que se abre el archivo, el usuario se enfrenta a una falsa página de inicio de sesión de Zimbra diseñada específicamente para la organización objetivo. Mientras el usuario completa sus credenciales en la página falsa, estas se capturan en segundo plano y se envían a un servidor controlado por los ciberdelincuentes. Esto potencialmente les permite acceder a la cuenta de correo electrónico comprometida.

Además, existe la posibilidad de que los atacantes hayan accedido incluso a cuentas administrativas y hayan creado nuevos buzones de correo para enviar correos de phishing a otros objetivos. Si bien la campaña identificada por ESET se basa en gran medida en la manipulación social y la interacción con los usuarios, se advierte que esta táctica podría evolucionar en el futuro.

Antonio Adrados Herrero

Recent Posts

Recomendaciones de seguridad para mantener los almacenes libres de ciberdelincuencia

Sin las medidas de protección necesarias, un almacén puede convertirse en el eslabón más débil…

3 horas ago

La importancia de optimizar los pagos para generar más ingresos y reducir los costes

Adyen publica los resultados de su estudio "Estrategias para reducir el coste total de pagos",…

3 horas ago

Solamente 2 de cada 10 empresas reducen su huella medioambiental con tecnología

Del porcentaje global del 21 % se baja a un 18 % en el caso…

4 horas ago

Sophos: “El uso más frecuente de la IA en la ciberdelincuencia es para ‘turboalimentar’ sus estafas sociales”

Entrevistamos a John Shier, CTO Field de Sophos, que hace repaso de las principales amenazas…

4 horas ago

¿Cómo convertir a España en hub digital clave para Europa?

Desde fibratel comparten una serie de pautas para orientar la construcción de centros de datos…

4 horas ago

El paralelismo entre la inteligencia artificial y la química

Dell Technologies compara estos ámbitos y habla de "purificar la materia original", "combinar elementos", una…

5 horas ago