Trwająca kampania phishingowa ma na celu kradzież danych dostępowych do wspierającej pracę zespołową platformy Zimbra Collaboration. Atak ma charakter globalny, jednak z analiz firmy ESET wynika, że większość zaatakowanych użytkowników znajduje się w Polsce.
Rozwijana na zasadach open source platforma Zimbra Collaboration stanowi alternatywę dla korporacyjnych rozwiązań poczty elektronicznej. W skali świata z rozwiązania tego korzystają m.in. małe i średnie firmy oraz podmioty rządowe, które teraz znalazły się na celu cyberprzestępców. Z analiz firmy ESET wynika, że kampania phishingowa pozostaje aktywna. “Zimbra, podobnie jak inne narzędzia będące alternatywą dla największych rozwiązań korporacyjnych, jest interesującym celem dla cyberprzestępców. Jest popularna wśród firm i organizacji o niższych budżetach, które często mają słabsze zabezpieczenia niż duże firmy. W tym przypadku atak opiera się jednak wyłącznie na sztuczkach psychologicznych i manipulacji” – mówi Kamil Sadkowski, ekspert ds. cyberbezpieczeństwa w firmie ESET.
Zdaniem autorów analizy, pomimo tego, że wymierzony w użytkowników platformy Zimbra atak nie jest zaawansowany technicznie, to stanowi realne zagrożenie dla organizacji korzystających z tego rozwiązania. Co ważne, największą grupę zaatakowanych użytkowników środowiska Zimbra stanowią osoby z Polski. Celem cyberprzestępców stały się również osoby m.in. z Ukrainy, Włoch, Francji, Holandii i Ekwadoru. “Przestępcy wykorzystują fakt, że załączniki HTML zawierają poprawny i pozbawiony szkodliwych funkcjonalności kod, a jedynym charakterystycznym elementem jest link kierujący do złośliwego hosta. W ten sposób znacznie łatwiej jest obejść polityki antyspamowe, zwłaszcza w porównaniu z bardziej rozpowszechnionymi technikami phishingu, w których złośliwy link jest umieszczany bezpośrednio w treści wiadomości e-mail” – wyjaśnia Viktor Šperka, ekspert firmy ESET.
Wykorzystana jako podstawa do przeprowadzenia ataku fałszywa wiadomość e-mail zawiera ostrzeżenie o niezbędnej aktualizacji serwera poczty e-mail, dezaktywacji konta lub innym problemie technicznym – i pod takim pretekstem zachęca użytkownika do otwarcia załączonego pliku HTML, który zawiera spreparowaną stronę logowania do platformy Zimbra. Wprowadzone tam dane uwierzytelniające trafiają na serwer kontrolowany przez przestępców, którzy mogą następnie przejąć konto e-mail ofiary i wykorzystać je do kolejnych ataków.
