A pesar de su sencillez, un La campaña de phishing dirigida a clientes del paquete de software Zimbra Collaboration se ha extendido a cientos de organizaciones en más de una docena de países.
Zimbra es un paquete de software colaborativo que incluye un servidor de correo electrónico y un cliente web. Es una alternativa de nicho a las soluciones tradicionales de correo electrónico empresarial con una pequeña fracción del mercado, según cifras de usuarios rastreadas por Enlyft y Sentido 6.
Zimbra se ha visto acosada por incidentes de seguridad durante todo el año, incluyendo un error de ejecución remota de código, un día cero de secuencias de comandos entre sitiosy una campaña de robo de información por parte de la nación de Corea del Norte.
Según investigadores de ESET, desde abril de 2023, un actor de amenazas no identificado ha estado utilizando correos electrónicos de phishing dispersos para seleccionar credenciales para cuentas privilegiadas de Zimbra. Los objetivos principales han sido las pequeñas y medianas empresas (la principal base de clientes del software de núcleo abierto), aunque algunas organizaciones gubernamentales también se vieron involucradas en la campaña.
"Esta campaña se dirigió a cientos de organizaciones diferentes", afirma Anton Cherepanov, investigador senior de malware de ESET. Sin embargo, “es difícil decir la magnitud del daño”, porque la mayoría de los ataques fueron erradicados antes de que se produjeran.
Usuarios de phishing de Zimbra
Cada ataque comienza de la misma manera: un correo electrónico de phishing general, que pretende provenir del propio Zimbra, transmitiendo algún tipo de mensaje urgente sobre, por ejemplo, una actualización del servidor o la desactivación de una cuenta. Por ejemplo, la siguiente nota titulada “Información importante del Servicio de Seguridad Zimbra”:
A partir de hoy, 3/7/2023, la página de inicio de sesión del cliente web Zimbra cambiará. Nos estamos preparando para una actualización por correo electrónico. Sin embargo, para evitar la desactivación y la pérdida de acceso a su cuenta de correo electrónico, obtenga una vista previa de la descarga del archivo adjunto.
El correo electrónico está firmado "Zimbra Boss - Administración".
Se adjunta un archivo HTML que dirige al usuario a una página de inicio de sesión genérica de Zimbra con algunos elementos de identificación personalizados para la organización objetivo en particular. La página se abre en el navegador del usuario, a pesar de ser una ruta de archivo local, y completa previamente el campo de nombre de usuario para dar la impresión de una página de inicio de sesión legítima de Zimbra.
El impacto en los clientes
Por supuesto, cualquier usuario que ingrese su contraseña en la página de inicio de sesión falsa enviará información confidencial directamente a los atacantes.
“El peor de los casos es que los atacantes podrían obtener privilegios de administrador de Zimbra y, potencialmente, privilegios de root en el servidor mismo. Pero depende de muchos factores, como la posible reutilización de la contraseña, la configuración utilizada, etc.”, afirma Cherepanov.
El país más afectado por esta campaña es Polonia, seguido de Ecuador e Italia, y los ataques también alcanzaron lugares tan lejanos como México, Kazajstán y los Países Bajos. Los objetivos no tienen nada en común aparte del uso de Zimbra.
Para evitar compromisos, Cherepanov recomienda una higiene de seguridad estándar: usar contraseñas seguras, autenticación multifactor y actualizar a la versión más reciente de Zimbra.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- ChartPrime. Eleve su juego comercial con ChartPrime. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://www.darkreading.com/attacks-breaches/phishing-attack-targets-hundreds-zimbra-customers-four-continents
- :posee
- :es
- $ UP
- 2023
- 7
- a
- Nuestra Empresa
- de la máquina
- Conforme
- Mi Cuenta
- Cuentas
- administración
- Todos
- también
- alternativa
- an
- y
- cualquier
- Abril
- somos
- AS
- At
- atacar
- ataques
- Autenticación
- evitar
- bases
- BE
- porque
- esto
- antes
- "Ser"
- acosar
- JEFE
- cada navegador
- negocios
- pero
- by
- Campaña
- el cambio
- reclamaciones
- cliente
- código
- colaboración
- colaboración
- cómo
- Algunos
- compromiso
- Configuración
- podría
- países
- país
- Curso
- Referencias
- cliente
- Clientes
- se adaptan
- depende
- A pesar de las
- una experiencia diferente
- dirigiendo
- descargar
- docena
- Ecuador
- elementos
- correo
- Empresa
- etc.
- ejemplo
- ejecución
- factores importantes
- falso
- muchos
- campo
- Figuras
- Archive
- seguido
- siguiendo
- fracción
- Desde
- Obtén
- General
- Donar
- Gobierno
- Difícil
- Tienen
- mantener
- Sin embargo
- HTML
- HTTPS
- Cientos
- identificar
- Impacto
- importante
- in
- incluye
- Incluye
- información
- dentro
- IT
- Italia
- SUS
- sí mismo
- jpg
- Kazajistán
- Tipo
- legítima
- local
- Inicie sesión
- de
- el malware
- muchos
- Mercado
- mensaje
- México
- MEJOR DE TU
- UR DONATIONS
- Países Bajos
- nicho
- North
- nada
- of
- on
- abre
- or
- solicite
- organización
- para las fiestas.
- salir
- Resultado
- Más de
- página
- particular
- Contraseña
- contraseñas
- camino
- suplantación de identidad
- ataque de phishing
- campaña de phishing
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Polonia
- posible
- la posibilidad
- preparación
- Vista previa
- primario
- privilegiado
- privilegios
- alcanzando
- reciente
- de CFP.
- sanaciones
- investigador
- investigadores
- raíz
- s
- mismo
- dices
- dice
- EN LINEA
- enviando
- mayor
- sensible
- de coches
- Compartir
- firmado
- sencillez
- desde
- chica
- Software
- Soluciones
- algo
- propagación
- estándar
- comienza
- recto
- fuerte
- tal
- suite
- Target
- afectados
- orientación
- tiene como objetivo
- esa
- La
- Países Bajos
- su
- luego
- ellos
- así
- ¿aunque?
- amenaza
- titulada
- a
- hoy
- se
- tradicional
- tipos
- Actualizar
- actualización
- urgente
- utilizan el
- usado
- Usuario
- usando
- versión
- we
- web
- WELL
- tuvieron
- que
- QUIENES
- amplio
- seguirá
- año
- tú
- zephyrnet