A ESET identificou uma nova campanha de phishing que afetou empresas e entidades governamentais no Brasil, Equador, México, Argentina, Chile, Peru
São Paulo, Brasil – A equipe de pesquisa da ESET, empresa líder em detecção proativa de ameaças, descobriu uma nova campanha massiva de phishing destinada à países da América Latina, em andamento desde abril de 2023, com objetivo de coletar credenciais de contas de usuários da Zimbra Collaboration. A campanha está se espalhando amplamente e tem como alvos uma variedade de pequenas e médias empresas, bem como entidades governamentais.
De acordo com a telemetria da ESET, o maior número de afetados está localizado na Polônia, seguido pelo Equador e Itália. Na América Latina, o ataque em massa teve como alvo também o Brasil, México, Argentina, Chile e Peru. As organizações atacadas são variadas, sem foco em nenhuma vertical específica; a única ligação entre as vítimas é o uso do Zimbra. Até o momento, essa campanha não foi atribuída a nenhum ator de ameaças conhecido.
Inicialmente, o alvo recebe um email com uma página de phishing em um arquivo HTML anexado. O email alerta o usuário sobre uma atualização do servidor de email, desativação da conta ou assunto similar, e instrui a clicar no arquivo anexado. O atacante também falsifica o campo “De:” do email para que pareça vir do administrador do servidor de email.
Tradução automática para o inglês do e-mail isca, originalmente em polonês.
Após abrir o arquivo anexado, o usuário é direcionado para uma página de login falsa do Zimbra personalizada de acordo com a organização à qual pertence. O arquivo HTML é aberto no navegador da vítima, que pode ser levada a acreditar que está sendo redirecionada para uma página legítima, embora a URL esteja apontando para um caminho local. É importante observar que o campo ‘Nome de usuário’ é preenchido automaticamente no formulário de login, o que o torna ainda mais convincente.
Exemplo da página legítima de acesso ao webmail do Zimbra para fins de comparação com a versão falsa.
Em segundo plano, as credenciais enviadas são coletadas do formulário HTML e enviadas por meio de uma solicitação HTTPS POST para o servidor controlado pelo invasor.
“Curiosamente, em várias ocasiões, a ESET observou ondas subsequentes de e-mails de phishing enviados de contas Zimbra previamente direcionadas de empresas legítimas, como donotreply[redacted]@[redacted].com. Os invasores provavelmente têm a capacidade de comprometer o gerente de conta da vítima e criar novas caixas de correio que usariam para enviar e-mails de phishing para outros alvos. Uma explicação é que o invasor usa a reciclagem de senha que pode ser feita pelo administrador atacado – ou seja, usando as mesmas credenciais para e-mail e administração. Com as informações disponíveis, não temos condições de confirmar essa hipótese”, diz Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.
De acordo com a ESET, embora a campanha não seja tecnicamente sofisticada, ela é capaz de se espalhar e comprometer organizações que usam a Zimbra Collaboration, tornando-a atraente para os atacantes. ‘O fato de que os anexos HTML contenham código legítimo e o único elemento revelador seja um componente que se conecta a um host malicioso é o que os atacantes exploram. Dessa forma, é mais fácil contornar as políticas antispam em comparação com as técnicas de phishing em que o link está diretamente no corpo do email. A popularidade do Zimbra entre organizações que se espera terem orçamentos de TI mais limitados garante que continue sendo um alvo atrativo para cibercriminosos’, concluí Gutiérrez Amaya, da ESET América Latina.
Para saber mais sobre segurança da informação, visite o portal de notícias ESET. A ESET também convida você a conhecer o Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação.
Para ouvir, acesse este link.
Sobre a ESET
Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite nosso site ou siga-nos no LinkedIn, Facebook e Twitter.
