El equipo de investigación líder en la detección proactiva de amenazas, ESET, ha revelado un sorprendente hallazgo: una campaña masiva de phishing que ha estado operando sigilosamente desde abril de 2023. Su objetivo es claro y su alcance impresionante, apuntando a usuarios de Zimbra Collaboration, una destacada plataforma colaborativa de software utilizada por empresas de todos los tamaños.
Desde el corazón de la industria de la ciberseguridad, ESET ha detectado un patrón alarmante: esta campaña de phishing se ha desplegado en múltiples frentes, apuntando no solo a pequeñas y medianas empresas, sino también a instituciones gubernamentales. El ingenio de los atacantes radica en su enfoque indiscriminado, utilizando la popularidad de Zimbra como su vía de infiltración.
Según el análisis detallado, los países más afectados hasta ahora son Polonia, Ecuador e Italia, aunque América Latina no se ha quedado atrás, ya que México, Argentina, Chile, Perú y Brasil también han sido objeto de estos ataques engañosos.
El modus operandi de esta campaña demuestra una combinación de engaño y sofisticación. Los atacantes se infiltran a través de correos electrónicos falsos que alertan a los usuarios sobre actualizaciones del servidor de correo o problemas de cuenta. Al abrir un archivo HTML adjunto, los usuarios son llevados a una página de inicio de sesión falsa, personalizada para cada organización. El toque magistral radica en el campo “Username” prellenado en el formulario, que confiere una apariencia de autenticidad engañosa.
Sin embargo, las apariencias engañan: tras la aparente legitimidad de la página de inicio de sesión, yace la trampa mortal. Las credenciales ingresadas por los usuarios son recopiladas silenciosamente y enviadas a los atacantes a través de conexiones HTTPS en segundo plano.
Lo que hace que esta campaña sea aún más intrigante es la naturaleza en constante evolución de los ataques. ESET ha detectado oleadas posteriores de correos de phishing, enviados desde cuentas de Zimbra previamente comprometidas. Se especula que los atacantes han logrado tomar el control de cuentas legítimas y han creado nuevos buzones para propagar aún más el engaño.
A pesar de su aparente simplicidad, esta campaña representa una seria amenaza. Su capacidad para sortear las medidas antispam tradicionales al utilizar códigos legítimos dentro de archivos HTML es un recordatorio de la necesidad de vigilancia constante. ESET advierte que Zimbra, con su popularidad entre organizaciones con presupuestos limitados de TI, seguirá siendo un blanco atractivo para los cibercriminales.
En un mundo donde la ciberseguridad es más crucial que nunca, la detección de estas tácticas insidiosas sirve como una llamada de atención para proteger los sistemas y las redes.