21/08/23
Крупномасштабная фишинговая кампания, нацеленная на клиентов популярного почтового сервиса Zimbra, распространилась на сотни организаций более чем в десятке стран мира.
Несмотря на примитивность используемой схемы, злоумышленникам удалось отправить целевые письма под видом уведомлений от Zimbra сотням пользователей программного обеспечения для совместной работы. Письма содержали вредоносные вложения, направляющие на фишинговую страницу входа в почтовый ящик жертвы, пишет Securitylab.
По данным экспертов ESET, основной целью атак становились небольшие и средние компании, хотя операция также затронула и некоторые крупные государственные организации. Масштаб нанесённого ущерба пока неизвестен, однако большинство атак были пресечены ещё на ранней стадии. Странами, пострадавшими больше всего, стали Польша, Эквадор и Италия.
Согласно отчёту ESET, данная фишинговая кампания ведётся с апреля этого года неустановленной группой злоумышленников, целенаправленно атакующих клиентов Zimbra по всему миру.
Хотя Zimbra занимает нишевую долю на рынке корпоративных почтовых сервисов, продукт всё равно используется тысячами небольших и средних предприятий. Это делает пользователей привлекательной целью для киберпреступников.
Ранее сервис Zimbra уже сталкивался с многочисленными проблемами безопасности, включая уязвимости в ПО и атаки со стороны Северной Кореи. Однако текущая фишинговая кампания оказалась одной из самых масштабных.
Злоумышленники рассылали письма от имени службы безопасности Zimbra, сообщая о необходимости срочно загрузить вложение для избежания блокировки аккаунта. Вложением был HTML-файл с фишинговой формой входа в почту.
Форма входа выглядела крайне правдоподобно и сразу отображала легитимный логин жертвы, видимо украденный в ходе предыдущих атак. Это заставляло пользователей думать, что перед ними настоящая страница авторизации Zimbra.
Любые введённые в фишинговую форму данные отправлялись хакерам, позволяя получить доступ к почтовым ящикам, а в худшем случае — и ко всей IT-инфраструктуре компании.
Для предотвращения атак эксперты советуют регулярно обновлять ПО, использовать сложные пароли и двухфакторную аутентификацию. Также важно проводить обучение сотрудников компании по кибербезопасности.
