Los investigadores de ESET han descubierto una campaña de phishing de propagación masiva activa desde al menos abril de 2023 y aún en curso dirigida a recopilar las credenciales de los usuarios de cuentas Zimbra. Zimbra Collaboration es una plataforma de software colaborativo de código abierto, una popular alternativa a las soluciones de correo electrónico empresarial. Esta campaña de propagación masiva tiene como objetivo diferentes pequeñas y medianas empresas y entidades gubernamentales.
Según la telemetría de ESET, el mayor número de objetivos se encuentra en Polonia; sin embargo, también se ataca a víctimas de otros países europeos como Ucrania, Italia, Francia y los Países Bajos. Las naciones latinoamericanas también fueron atacadas; Ecuador encabeza la lista de detecciones en esa región.
A pesar de que esta campaña no es particularmente sofisticada desde el punto de vista técnico, es capaz de propagarse y comprometer con éxito a organizaciones que utilizan Zimbra Collaboration. “Los delincuentes aprovechan el hecho de que los archivos HTML adjuntos contienen código legítimo, con el único elemento revelador de un enlace que apunta al host malicioso. De esta forma, es mucho más fácil eludir las políticas antispam basadas en la reputación, especialmente en comparación con las técnicas de phishing más extendidas, en las que un enlace malicioso se coloca directamente en el cuerpo del correo electrónico”, explica el investigador de ESET Viktor Šperka, que descubrió la campaña.
“Las organizaciones objetivo varían; los adversarios no se centran en ningún sector específico; lo único que conecta a las víctimas es que utilizan Zimbra”, añade Šperka. La popularidad de Zimbra Collaboration entre las organizaciones que se espera que tengan presupuestos de TI más bajos garantiza que siga siendo un objetivo atractivo para los ciber delincuentes.
