- Les chercheurs d'ESET ont découvert une campagne d’hameçonnage massive visant à collecter les informations d'identification des utilisateurs de comptes Zimbra, active depuis au moins avril 2023 et toujours en cours.
- Les chercheurs d'ESET ont découvert une campagne d’hameçonnage massive visant à collecter les informations d'identification des utilisateurs de comptes Zimbra, active depuis au moins avril 2023 et toujours en cours.
- Les cibles sont des petites et moyennes entreprises ainsi que des entités gouvernementales.
- Selon la télémétrie ESET la Pologne est principalement ciblée; d'autres pays européens et latino-américains ont également été touchés.
- La campagne observée par ESET repose uniquement sur l'ingénierie sociale et l'interaction avec les utilisateurs.
Les chercheurs d'ESET ont découvert une campagne d’hameçonnage massive visant à collecter les informations d'identification des utilisateurs de comptes Zimbra. La campagne est active depuis au moins avril 2023 et est toujours en cours. Zimbra Collaboration© est une plate-forme logicielle collaborative opensource, une alternative populaire aux solutions de messagerie d'entreprise. Les cibles de la campagne sont une multitude de petites et moyennes entreprises et d'entités gouvernementales. Selon la télémétrie ESET, le plus grand nombre de cibles sont situées en Pologne; cependant, les victimes dans d'autres pays européens tels que l'Ukraine, l'Italie, la France et les Pays-Bas sont également ciblées. Les pays d'Amérique latine ont également été touchés; L'Équateur est en tête de liste des détections dans cette région.
Bien que cette campagne ne soit pas particulièrement techniquement sophistiquée, elle est capable de diffuser et de compromettre avec succès les organisations qui utilisent Zimbra Collaboration. « Les adversaires tirent parti du fait que les pièces jointes HTML contiennent du code légitime, le seul élément malintentionné étant un lien pointant vers l'hôte malveillant. De cette manière, il est facile de contourner les politiques antispam basées sur la réputation et celles qui traquent le lien d’hameçonnage directement placé dans le corps de l'e-mail », explique Viktor Šperka, chercheur chez ESET, qui a découvert la campagne.
« Les organisations ciblées sont multiples; Les attaquants ne se concentrent pas sur une verticale spécifique – le seul lien qui relie les victimes est qu'elles utilisent Zimbra », ajoute Šperka.
Quelles sont les étapes de cette attaque ?
- L’hameçonnage prétexte une mise à jour du serveur de messagerie, de la désactivation du compte ou d'un problème similaire et invite l'utilisateur à cliquer sur le fichier joint.
- Après avoir ouvert la pièce jointe, l'utilisateur se voit présenter une fausse page de connexion Zimbra personnalisée en fonction de l'organisation ciblée.
- En arrière-plan, les informations d'identification soumises sont collectées à partir du formulaire HTML et envoyées à un serveur contrôlé par l'adversaire.
- Ensuite, l'attaquant est potentiellement capable d'infiltrer le compte de messagerie affecté.
Il est probable que les attaquants aient pu compromettre également des comptes administrateur des victimes pour créer de nouvelles boîtes aux lettres qui ont ensuite été utilisées pour envoyer des courriels d’hameçonnage à d'autres cibles.
Pour plus d'informations techniques sur cette campagne contre les utilisateurs de Zimbra, consultez l'article de blog Campagne de diffusion massive ciblant les utilisateurs de Zimbra sur WeLiveSecurity.com.
Pays touchés par la campagne, selon la télémétrie ESET
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.