Компания ESET — лидер в области информационной безопасности — предупреждает о распространении новой волны фишинговых сообщений, направленных на похищение учетных данных пользователей Zimbra. Вредоносные письма распространяются, по крайней мере, с апреля 2023 года и до сегодня. Злоумышленники нацеливаются на разные предприятия малого и среднего бизнеса, а также государственные учреждения.
По данным телеметрии ESET, наибольшее количество целей находится в Польше, однако киберпреступники атакуют также другие европейские страны, в частности Украину, Италию, Францию и Нидерланды, а также некоторые латиноамериканские страны.
Стоит отметить, что Zimbra – это открытая платформа для совместной работы, которая является популярной альтернативой корпоративным решениям для электронной почти.
«Целями злоумышленников являются разные организации, а связывает жертв только то, что они используют Zimbra», — комментирует Виктор Шперка, исследователь ESET. Популярность Zimbra среди организаций, которые, вероятно, имеют меньшие ИТ-бюджеты, делает ее привлекательной мишенью для киберпреступников.
Первоначально жертва получает электронное письмо с фишинговой страницей во вложенном файле HTML. Электронное письмо предупреждает пользователя якобы об обновлении сервера электронной почты, деактивации учетной записи или подобной проблеме и направляет пользователя открыть вложенный файл.
После нажатия на него пользователю открывается поддельная страница входа в Zimbra, настроенная в соответствии с определенной организацией. В фоновом режиме отправленные учетные данные собираются из формы HTML и отправляются на сервер, контролируемый злоумышленниками. Таким образом киберпреступники смогут проникнуть в аккаунт почты жертвы.
«Злоумышленники используют то, что вложения HTML содержат легитимный код, единственным опасным элементом которого является ссылка, указывающая на вредоносный хост. Таким образом, злоумышленникам гораздо легче обойти политики защиты от спама на основе репутации, особенно по сравнению с более распространенными методами фишинга, когда вредоносная ссылка размещается непосредственно в теле электронного письма», — объясняет Виктор Шперка, исследователь ESET.
Вероятно, киберпреступники смогли скомпрометировать учетные записи администратора и создали новые почтовые ящики, которые затем использовали для отправки фишинговых писем другим целям. На этот раз злоумышленники рассчитывают только на социальную инженерию и взаимодействие с пользователем, однако они могут использовать и другие методы.
В связи с опасностью специалисты ESET рекомендуют не переходить по неизвестным ссылкам, отправленным через сообщения в соцсетях или электронных письмах, в дополнение к паролям использовать двухфакторную аутентификацию для входа в аккаунты и установить программы для защиты ваших компьютеров и мобильных устройств от различных угроз, включая вирусы, фишинг-атаки и другие виды вредоносных программ.