PARIS : L’Europe, principale cible d’une campagne m…
Partager :
PARIS : L’Europe, principale cible d’une campagne massive de vol d’identifiants
21 août 2023 – Les chercheurs d’ESET ont découvert une campagne d’hameçonnage massive visant à collecter les informations d’identification des utilisateurs de comptes Zimbra.
La campagne est active depuis au moins avril 2023 et est toujours en cours. Zimbra Collaboration© est une plate-forme logicielle collaborative opensource, une alternative populaire aux solutions de messagerie d’entreprise. Les cibles de la campagne sont une multitude de petites et moyennes entreprises et d’entités gouvernementales. Selon la télémétrie ESET, le plus grand nombre de cibles sont situées en Pologne; cependant, les victimes dans d’autres pays européens tels que l’Ukraine, l’Italie, la France et les Pays-Bas sont également ciblées. Les pays d’Amérique latine ont également été touchés, l’Équateur est en tête de liste des détections dans cette région.
Bien que cette campagne ne soit pas particulièrement techniquement sophistiquée, elle est capable de diffuser et de compromettre avec succès les organisations qui utilisent Zimbra Collaboration. « Les adversaires tirent parti du fait que les pièces jointes HTML contiennent du code légitime, le seul élément malintentionné étant un lien pointant vers l’hôte malveillant. De cette manière, il est facile de contourner les politiques antispam basées sur la réputation et celles qui traquent le lien d’hameçonnage directement placé dans le corps de l’e-mail », explique Viktor Šperka, chercheur chez ESET, qui a découvert la campagne.
« Les organisations ciblées sont multiples; Les attaquants ne se concentrent pas sur une verticale spécifique – le seul lien qui relie les victimes est qu’elles utilisent Zimbra », ajoute Šperka.
Quelles sont les étapes de cette attaque ?
● L’hameçonnage prétexte une mise à jour du serveur de messagerie, de la désactivation du compte ou d’un problème similaire et invite l’utilisateur à cliquer sur le fichier joint.
● Après avoir ouvert la pièce jointe, l’utilisateur se voit présenter une fausse page de connexion Zimbra personnalisée en fonction de l’organisation ciblée.
● En arrière-plan, les informations d’identification soumises sont collectées à partir du formulaire HTML et envoyées à un serveur contrôlé par l’adversaire.
● Ensuite, l’attaquant est potentiellement capable d’infiltrer le compte de messagerie affecté.
Il est probable que les attaquants aient pu compromettre également des comptes administrateur des victimes pour créer de nouvelles boîtes aux lettres qui ont ensuite été utilisées pour envoyer des courriels d’hameçonnage à d’autres cibles.
Pour plus d’informations techniques sur cette campagne contre les utilisateurs de Zimbra, consultez l’article de blog Campagne de diffusion massive ciblant les utilisateurs de Zimbra sur WeLiveSecurity.com.