Según un informe publicado por el equipo de investigación de ESET, una campaña masiva de phishing ha venido azotando la región desde al menos abril de 2023, dirigida a la recolección de credenciales de usuarios de la plataforma Zimbra Collaboration.
Esta estratagema cibernética, dirigida a un amplio espectro de pequeñas y medianas empresas, así como entidades gubernamentales, ha demostrado ser altamente efectiva y se ha propagado de manera significativa en países como Ecuador, México, Argentina, Chile, Perú y Brasil.
Zimbra Collaboration, una plataforma de software open-main de colaboración, es ampliamente utilizada para gestionar correos electrónicos empresariales y representa un objetivo atractivo para los cibercriminales. A través de un minucioso análisis de telemetría, ESET ha determinado que la mayoría de las víctimas se encuentran en Polonia, seguida por Ecuador e Italia. Sin embargo, en América Latina, la campaña ha apuntado con fuerza a objetivos en México, Argentina, Chile, Perú y Brasil.
La campaña de phishing en cuestión no discrimina por industria, enfocándose en objetivos que comparten el uso de Zimbra. Aunque hasta el momento no se ha atribuido a ningún actor de amenazas específico, los ataques han seguido un patrón característico. Las víctimas reciben un archivo adjunto, que al abrirse, desencadena una página de inicio de sesión falsa de Zimbra.
El archivo HTML se ejecuta en el navegador de la víctima, simulando redirecciones a una página legítima, a pesar de que la URL en realidad se dirige a una ruta local. Es importante destacar que el campo «Username» se completa automáticamente en el formulario de inicio de sesión, lo que agrega un nivel adicional de legitimidad, aclaran desde ESET.
Sin embargo, lo más intrigante de esta campaña radica en los mecanismos utilizados para el robo de credenciales. Mientras el usuario interactúa con la página falsa de inicio de sesión, las credenciales ingresadas son recopiladas y enviadas a través de una petición HTTPS Post a un servidor controlado por el atacante.
Un aspecto que llama la atención en esta investigación, es la utilización de cuentas legítimas de Zimbra que previamente habían sido comprometidas para enviar oleadas de correos de phishing.
Estos correos provienen de direcciones aparentemente confiables, como «donotreply[redacted]@[redacted].com«, lo que sugiere que los atacantes podrían tener la capacidad de comprometer cuentas y utilizarlas para lanzar nuevos ataques. Aunque se especula que esto podría deberse a la reutilización de contraseñas por parte de los administradores, la información real no permite confirmar esta hipótesis, destaca el informe.
ESET subraya que, aunque la campaña de phishing puede no ser técnicamente sofisticada, su capacidad de propagación y su capacidad para comprometer organizaciones que utilizan Zimbra Collaboration la convierten en una amenaza actual. Los atacantes explotan la inclusión de código legítimo en los archivos HTML adjuntos y un único elemento que enlaza con un host malicioso.
Esto dificulta la detección a través de políticas antispam, en comparación con los enfoques de phishing tradicionales donde los enlaces maliciosos se incluyen directamente en el cuerpo del correo electrónico.
Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, destaca que la popularidad de Zimbra entre organizaciones con presupuestos de TI más limitados hace que estas sigan siendo objetivos atractivos para los cibercriminales.
La campaña de phishing no sólo resalta la importancia de una ciberseguridad robusta, sino también la necesidad de educar a los usuarios para que estén alerta y eviten caer en trampas cibernéticas.
La revelación de esta campaña de phishing masiva subraya una vez más la constante evolución y sofisticación de las amenazas cibernéticas. En un mundo cada vez más interconectado, la colaboración y la protección se vuelven esenciales para salvaguardar los datos y la integridad de las empresas y entidades gubernamentales en toda América Latina.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Noticias Blockchain. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Te puede interesar:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto whole invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.
