Campanha de phishing compromete contas de email Zimbra

De acordo com um relatório da Eset, cibercriminosos estão a recolher credenciais de utilizadores de contas Zimbra numa campanha de phishing, que está ativa desde pelo menos abril.

Os investigadores apontam que, apesar de a campanha não ser “tecnicamente sofisticada”, é capaz de comprometer com sucesso as organizações que utilizam o Zimbra Collaboration, como é o caso de pequenas e médias empresas, entidades governamentais e instituições académicas.

“A popularidade do Zimbra Collaboration entre as organizações que devem ter orçamentos de TI mais baixos garante que esta continue a ser um alvo atraente para os adversários”, afirma a Eset.

A maioria dos alvos está localizada na Polónia, no Equador e em Itália, mas os investigadores acreditam que as organizações são visadas de forma aleatória, sendo o recurso à Zimbra o único fator em comum. Segundo a telemetria da Eset, não existem registos de alvos em Portugal.

Até à data, os investigadores não associaram os ciberataques a nenhum agente de ameaça conhecido.

Os cibercriminosos enviam aos utilizadores um e-mail que contém uma página de phishing num ficheiro HTML anexado, solicitando a abertura do anexo devido a uma atualização do servidor de e-mail, uma desativação de conta ou um problema semelhante. Ao abrir o ficheiro, o utilizador é, de seguida, redirecionado para uma página de login falsa do Zimbra, onde o campo do utilizador está pré-preenchido.

Alguns emails de phishing foram enviados de contas Zimbra de empresas legítimas que foram previamente visadas. A Eset presume que os cibercriminosos terão configurado novas caixas de correio nas contas de administrador invadidas, utilizando-as depois para enviar emails de phishing para novos alvos.