Los investigadores han descubierto una campaña activa que explota una vulnerabilidad de día cero en la plataforma de correo electrónico Zimbra.
Zimbra es una plataforma de correo electrónico disponible bajo una licencia de código abierto. Según el desarrollador, la plataforma admite cientos de millones de buzones ubicados en 140 países.
El 3 de febrero, los investigadores de seguridad cibernética de Volexity, Steven Adair y Thomas Lancaster, dijeron que un grupo de amenazas está explotando el sistema rastreado como TEMP_Heretic en una serie de ataques de correo electrónico de phishing selectivo.
En un aviso de seguridad, Volexity dijo que la campaña, denominada «Operación EmailThief», se descubrió por primera vez en diciembre de 2021 y es probable que sea obra de ciberdelincuentes chinos.
Según el equipo, TEMP_Heretic es cuidadoso en la selección de víctimas potenciales. El actor de amenazas primero realizará un reconocimiento y utilizará correos electrónicos integrados en el rastreador para ver si una dirección era válida y si un objetivo incluso abriría correos electrónicos en primer lugar, y si es así, se desencadena la segunda etapa de la cadena de ataque.
En total, se han utilizado 74 direcciones de correo electrónico de Microsoft Outlook únicas para enviar los correos electrónicos preliminares, que contienen imágenes y asuntos genéricos, incluidas invitaciones, alertas y reembolsos de boletos de avión.
También: ¿Seguridad del gusano de seda? Investigadores crean nuevo método de autenticación usando fibras de seda
TEMP_Heretic luego enviará correos electrónicos de phishing personalizados que contienen un enlace malicioso. Los temas más específicos de los correos electrónicos posteriores se relacionaron con solicitudes de entrevistas de organizaciones de noticias, incluidas AFP y BBC, así como invitaciones a cenas benéficas. Otras muestras de correo electrónico de phishing recopiladas eran más genéricas y contenían saludos festivos.
La víctima tendría que iniciar sesión en el cliente de correo web de Zimbra desde un navegador web cuando abriera el archivo adjunto malicioso y el enlace para que el exploit tuviera éxito, pero según Volexity, el enlace en sí podría iniciarse desde otras aplicaciones, como Outlook. o Thunderbird.
La vulnerabilidad de secuencias de comandos entre sitios (XSS) permite a los atacantes ejecutar JavaScript arbitrario en el contexto de la sesión de Zimbra, lo que lleva al robo de datos de correo, archivos adjuntos y cookies. Además, los ciberdelincuentes podrían aprovechar una cuenta de correo electrónico comprometida para enviar más correos electrónicos de phishing o para iniciar avisos para que la víctima descargue cargas adicionales de malware.
TEMP_HERETIC se ha vinculado anteriormente a campañas dirigidas a organizaciones gubernamentales y de medios europeas.
«En el momento de escribir este artículo, este exploit no tiene un parche disponible, ni se le ha asignado un CVE (es decir, esta es una vulnerabilidad de día cero)», dicen los investigadores. «Volexity puede confirmar y ha probado que las versiones más recientes de Zimbra, 8.8.15 P29 y P30, siguen siendo vulnerables; las pruebas de la versión 9.0.0 indican que es probable que no se vean afectadas».
Volexity notificó a Zimbra sobre el intento de explotación el 16 de diciembre y proporcionó un código de prueba de concepto (PoC). Zimbra reconoció el informe el 28 de diciembre y confirmó que el exploit era válido para el equipo de ciberseguridad.
Después de solicitar detalles de un parche en enero y no recibir respuesta, Volexity hizo públicos sus hallazgos este mes. Sin embargo, es poco probable que los usuarios que se han actualizado a la última versión del cliente de correo web estén en riesgo.
«Los usuarios de Zimbra deberían considerar actualizar a la versión 9.0.0, ya que actualmente no existe una versión segura de 8.8.15», dicen los investigadores.
MarketingyPublicidad.es se comunicó con Zimbra y lo actualizaremos cuando tengamos noticias.
Cobertura anterior y relacionada
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
