KMUs sowie Regierungsbehörden stehen derzeit im Fokus einer Phishing-Kampagne. Eset-Forscher haben entdeckt, dass Nutzer der Software Zimbra betroffen sind. Zimbra ist ein sogenanntes Collaboration-Tool mit denen E-Mails, Kontakte, Kalender und Aufgabenlisten verwaltet werden können. Die Angreifer haben es demnach gezielt auf Anmeldedaten für die Software abgesehen. Die Kampagne sei seit mindestens April 2023 aktiv und dauere weiter an.
Eset zufolge befinden sich die meisten attackierten Organisationen in Polen. Darüber hinaus seien aber auch Unternehmen und Verwaltungen in anderen europäischen Ländern wie der Ukraine, Italien, Frankreich und der Niederlande davon betroffen. Hinzu kämen Angriffe in lateinamerikanischen Ländern, allen voran Ecuador. Die attackierten Organisationen gehören laut Eset unterschiedlichen Branchen an, die einzige Gemeinsamkeit sei die Nutzung von Zimbra.
Zimbra Collaboration ist eine Open-Core-Plattform für kollaborative Software und eine beliebte Alternative zu bekannten E-Mail-Lösungen für Unternehmen wie Microsoft Outlook und Mozilla Thunderbird. Vor allem Organisationen mit geringen IT-Budgets greifen auf Zimbra zurück, was die Plattform zu einem attraktiven Ziel für Hacker mache.
Die von Eset beobachtete Phishing-Kampagne sei technisch nicht sonderlich anspruchsvoll: Sie beruhe ausschliesslich auf Social-Engineering und Benutzerinteraktion. Dennoch verbreite sie sich schnell und kompromittiere Organisationen, die Zimbra verwenden. Die Angriffe laufen gemäss den Security-Experten folgendermassen ab:
- Die Zielperson erhält eine E-Mail mit einer angehängten HTML-Date, diese führt zu einer Phishing-Seite in der angehängten HTML-Datei. Die E-Mail warnt den Empfänger vor einer Aktualisierung des E-Mail-Servers, einer Kontodeaktivierung oder einem ähnlichen Problem und fordert den Benutzer auf, die angehängte Datei zu öffnen.
- Nach dem Öffnen des Anhangs wird dem Benutzer eine gefälschte Zimbra-Anmeldeseite angezeigt, die auf das Zielunternehmen zugeschnitten ist. Im Hintergrund werden die eingegebenen Anmeldedaten aus dem HTML-Formular gesammelt und an einen vom Angreifer kontrollierten Server gesendet.
- Nach dem Angriff sind die Angreifer möglicherweise in der Lage, das betroffene E-Mail-Konto zu infiltrieren. Die erbeuteten Daten werden mutmasslich auch dazu genutzt, zusätzliche Postfächer zu erstellen und im Namen des Opfers Phishing-Mails an weitere Ziele zu verschicken.
"Die Angreifer nutzen die Tatsache aus, dass HTML-Anhänge legitimen Code enthalten, wobei das einzige verräterische Element ein Link ist, der auf den bösartigen Host verweist. Auf diese Weise ist es viel einfacher, reputationsbasierte Antispam-Richtlinien zu umgehen, vor allem im Vergleich zu häufigeren Phishing-Techniken, bei denen ein schadhafter Link direkt im E-Mail-Text platziert wird", erklärt Eset-Forscher Viktor Šperka, der die Kampagne entdeckt hat.
Nutzer sollten bei eingehenden Mails vorsichtig sein, um nicht Opfer von Phishing zu werden: Verdächtige E-Mail-Adressen und Anhänge, viele Grammatikfehler im Text oder scheinbar hohe Dringlichkeit sind Indizien dafür, dass es sich um eine Phishing-Mail handelt.
