Piccole e medie imprese ed enti governativi che fanno uso della piattaforma software collaborativa open-core Zimbra Collaboration sono gli obiettivi di una campagna di phishing su larga scala in corso da aprile 2023 in diversi paesi europei fra cui Polonia, Ucraina, Italia, Francia e Paesi Bassi. A scoprirla e monitorarla sono i ricercatori di ESET. Secondo quanto precisato sul blog ufficiale, l’obiettivo dei cyber criminali è raccogliere le credenziali degli utenti.

Gli esperti parlano di una operazione non particolarmente sofisticata dal punto di vista tecnico, ma comunque in grado di diffondersi e compromettere con successo le organizzazioni che utilizzano Zimbra Collaboration. Tutto parte da email abilmente orchestrate, che contengono al loro interno degli allegati HTML con codice legittimo, ma con un link che punta a un host dannoso. Nella sua semplicità l’idea è efficace perché il messaggio così strutturato raggira le policy antispam relative alla reputazione e quelle che si basano sulle tecniche di phishing più diffuse, in cui viene inserito il link malevolo direttamente nel messaggio di testo.

La vittima riceve una email con un messaggio testuale fraudolento che avvisa l’utente di un aggiornamento del server di posta elettronica, della disattivazione dell'account o di un problema simile. Per rimediare invita ad aprire il file HTML allegato. Chi abbocca a un’esca che ha tutti i tratti di un attacco da manuale, viene collegato a una falsa pagina di login Zimbra che gli attaccanti hanno personalizzata in base all'organizzazione target.

Se non si insospettisce, la vittima inserisce le proprie credenziali, che ovviamente vengono raccolte dal modulo HTML e inviate a un server controllato dall’attaccante. A questo punto i cyber criminali hanno quello che gli occorre per infiltrarsi nell'account di posta elettronica violato. Monitorando le attività, gli esperti di ESET reputano probabile che gli operatori malevoli siano riusciti a compromettere gli account amministratore delle vittime e abbiano creato nuove caselle di posta elettronica che sono state poi utilizzate per inviare email di phishing ad altri obiettivi.

Dalla descrizione appare chiaro come la campagna in questione (che è ancora in corso) sia basata solo sul social engineering e sull'interazione con l'utente. Si rinnova quindi l’invito ad avviare attività di formazione per tutti gli utenti aziendali, di modo che sappiano riconoscere la minaccia e si comportino nel modo opportuno. Nel blog ufficiale sono riportati anche gli indicatori di compromissione.