La compañía de seguridad ESET ha dado la voz de alarma sobre una campaña de phishing que se viene difundiendo desde el pasado mes de abril y que trata de robar las credenciales de los servidores de email de Zimbra Collaboration.
Estos correos electrónicos se dirigirían a organizaciones de todo el mundo, sin enfocarse en ningún sector o vertical en concreto. Por el momento el actor de amenazas tras esta operación no ha salido a la luz.
Los ataques se inician con un email donde los cibermalos se hacen pasar por administradores que informan a los usuarios sobre una inminente actualización del servidor de email, lo que resultará en una desactivación temporal de la cuenta.
El correo pide al destinatario que abra un archivo HTML adjunto para obtener más información sobre dicha actualización y revise las instrucciones con el fin de evitar que desactive la cuenta.
Al abrir el adjunto se muestra una página de inicio falsa de Zimbra que cuenta con el logotipo y la marca de la empresa objetivo. Además, el campo de nombre de usuario en el formulario de inicio de sesión se completa previamente, con el fin de otorgar mayor verosimilitud al engaño.
En realidad, esta web de phishing que solo busca hacerse con las contraseñas de los usuarios.
A por las cuentas de administrador
ESET alerta como en algunos casos los atacantes se sirven de cuentas de administrador comprometidas para crear nuevos buzones de correo que se utilizan para difundir emails de phishing a otros miembros de la organización.
Los investigadores de seguridad destacan que, a pesar de lo poco sofisticada que esta campaña, su difusión y éxito son impresionantes.