• Onderzoekers van ESET hebben een massaal verspreide phishingcampagne ontdekt gericht op het verzamelen van Zimbra-accountgegevens van gebruikers. Deze campagne is actief sinds april 2023 en loopt nog steeds.
• Tot de doelwitten behoren verschillende kleine en middelgrote bedrijven en overheidsinstanties.
• Volgens de telemetrie van ESET bevindt het grootste aantal doelwitten zich in Polen; andere Europese en Latijns-Amerikaanse landen werden ook getroffen.
• De door ESET geobserveerde campagne is alleen gebaseerd op social engineering gebruikersinteractie.
Sliedrecht, 17 augustus 2023 –ESET - onderzoekers hebben een massaal verspreide phishingcampagne ontdekt die is gericht op het verzamelen van Zimbra-accountgegevens van gebruikers. De campagne is actief sinds april 2023 en loopt nog steeds. Zimbra Collaboration is een open-kern samenwerkingssoftwareplatform, een populair alternatief voor zakelijke e-mailoplossingen. De doelwitten van de campagne zijn verschillende kleine en middelgrote bedrijven en overheidsinstellingen. Volgens de telemetrie van ESET bevindt het grootste aantal doelwitten zich in Polen; slachtoffers in andere Europese landen zoals Oekraïne, Italië, Frankrijk en Nederland zijn echter ook het doelwit. Latijns-Amerikaanse landen werden ook getroffen; Ecuador staat bovenaan de lijst van gedetecteerde aanvallen in die regio.
Ondanks het feit dat deze campagne technisch niet bijzonder geavanceerd is, is deze toch in staat om zich te verspreiden en met succes organisaties te compromitteren die Zimbra Collaboration gebruiken. "Aanvallers maken gebruik van het feit dat HTML-bijlagen legitieme code bevatten, met als enige verraderlijke element een link die naar de kwaadaardige host verwijst. Op deze manier is het veel eenvoudiger om een reputatiegebaseerd antispambeleid te omzeilen, vooral in vergelijking met meer gangbare phishingtechnieken, waarbij een kwaadaardige link direct in de e-mail wordt geplaatst," legt ESET-onderzoeker Viktor Šperka uit, die de campagne ontdekte.
"Doelorganisaties variëren; aanvallers richten zich niet op een specifieke vertical - het enige wat slachtoffers verbindt, is dat ze Zimbra gebruiken," voegt Šperka toe. De populariteit van Zimbra Collaboration onder organisaties met lagere IT-budgetten zorgt ervoor dat het een aantrekkelijk doelwit blijft voor aanvallers.
In eerste instantie ontvangt het doelwit een e-mail met een phishingpagina in het bijgevoegde HTML-bestand. In de e-mail wordt het doelwit gewaarschuwd voor een update van de e-mailserver, deactivering van het account of een soortgelijke kwestie en wordt de gebruiker gevraagd op het bijgevoegde bestand te klikken. Na het openen van de bijlage krijgt de gebruiker een valse Zimbra-inlogpagina te zien die is aangepast aan de beoogde organisatie. Op de achtergrond worden de ingediende gegevens van het HTML-formulier verzameld en naar een server gestuurd die door de aanvaller wordt beheerd. Vervolgens kan de aanvaller mogelijk het getroffen e-mailaccount infiltreren. Het is waarschijnlijk dat de aanvallers in staat waren om de beheerderaccounts van het slachtoffer te compromitteren en nieuwe mailboxen aan te maken die vervolgens werden gebruikt om phishingmails naar andere doelwitten te sturen. De campagne die ESET heeft waargenomen berust alleen op social engineering en gebruikersinteractie; dit is echter niet altijd het geval.
Voor meer technische informatie over de campagne tegen Zimbra, bekijk de blogpost "Mass-spreading campaign targeting Zimbra users" op WeLiveSecurity.com. Volg ESET Research op Twitter voor het laatste nieuws van ESET Research.
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESETs R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook,Instagram en Twitter.