По информации компании ESET, с апреля 2023 года злоумышленники атакуют пользователей по всему миру с целью кражи учетных данных от почтовых серверов Zimbra Collaboration. Фишинговые письма рассылаются самым разным организациям, без особого внимания к определенным компаниям или секторам.
По словам исследователей, в письмах атакующие выдают себя за ИТ-администраторов целевых организаций, информируя пользователей о скором обновлении почтового сервера, которое якобы приведет к временной деактивации учетной записи.
Получателю предлагается открыть прикрепленный HTML-файл, чтобы узнать больше о грядущем обновлении и ознакомиться с инструкциями по предотвращению деактивации.
При запуске этого файла пользователь увидит фальшивую страницу входа в Zimbra, содержащую логотип и бренд целевой компании, чтобы подделка не вызывала подозрений у потенциальных жертв. Кроме того, поле имени пользователя в форме входа уже предварительно заполнено, что придает фишинговой странице дополнительную легитимность.
Если пользователи попадаются на удочку злоумышленников, пароли от учетных записей, введенные в фишинговой форме, передаются на сервер хакеров с помощью POST-запроса HTTPS.
ESET сообщает, что в некоторых случаях злоумышленники использовали скомпрометированные учетные записи администраторов для создания новых почтовых ящиков, которые затем использовались для рассылки фишинговых писем другим членам организации, распространяя атаку далее.
Хотя технически эта вредоносная кампания не слишком сложна, исследователи предупреждают, что ее масштабы широки и пользователи Zimbra Collaboration стоит знать об этой угрозе.
«Популярность Zimbra Collaboration среди организаций, которые, имеют низкие ИТ-бюджеты, гарантирует, что этот продукт и далее будет оставаться привлекательной мишенью для злоумышленников», — резюмируют в ESET.