Phishing Zimbra : une vaste campagne cible les utilisateurs du webmail
Attention si vous utilisez Zimbra, le webmail employé notamment par Free ! Une vaste campagne de phishing prétexte une mise à jour du serveur de messagerie ou une désactivation de compte pour voler des identifiants et des mots de passe..
Le webmail Zimbra est très apprécié des abonnés Free, des administrations françaises et des entreprises n'ayant pas les moyens ou l'envie de payer la suite Microsoft – la France est dans le top cinq des pays utilisateurs de Zimbra. Autant dire que cette alternative populaire aux solutions de messagerie d'entreprise représente une cible de choix pour les cybercriminels. ESET Research a découvert une campagne d'hameçonnage massive visant à collecter les informations d'identification des utilisateurs de la plateforme logicielle collaborative open source, en particulier des petites et des moyennes entreprises, ainsi que des entités gouvernementales en Europe. Elle vise la Pologne, l'Ukraine, l'Italie, la France, les Pays-Bas, ainsi que des pays d'Amérique latine comme l'Équateur. Active depuis au moins avril 2023, elle est toujours en cours. Prudence donc !
Phishing Zimbra : une campagne classique mais efficace
Si cette opération malveillante n'est pas présentée comme "techniquement particulièrement sophistiquée", elle est en mesure de se répandre facilement au sein d'une entreprise ayant recours à Zimbra et de faire d'importants dégâts. Les pirates envoient des messages avertissant d'une mise à jour du serveur de messagerie, d'une désactivation du compte ou de tout autre problème de ce genre. La victime est invitée à cliquer sur un fichier HTLM en pièce jointe, qui est bien évidemment compromis. "Les pirates tirent parti du fait que les pièces jointes HTML contiennent du code légitime, le seul élément révélateur étant un lien pointant vers l'hôte malveillant. De cette manière, il est facile de contourner les politiques antispam basées sur la réputation, en particulier par rapport aux techniques d'hameçonnage plus répandues, où un lien malveillant est directement placé dans le corps de l'e-mail", explique Viktor Šperka, chercheur chez ESET, dans un communiqué de presse.
Après avoir ouvert la pièce jointe, l'utilisateur se voit présenter une fausse page de connexion Zimbra personnalisée en fonction de l'organisation ciblée. "Notez que le champ 'Nom d'utilisateur' est pré-rempli dans le formulaire de connexion, ce qui le rend plus légitime", explique ESET. Ensuite, le déroulement est celui d'une campagne de phishing tout ce qu'il y a de plus classique. Le fichier HTML est ouvert dans le navigateur de la victime, ce qui peut lui faire croire qu'elle a été dirigée vers la page de connexion légitime, alors que l'URL pointe vers un chemin d'accès à un fichier local. En arrière-plan, les informations d'identification soumises sont collectées dans le formulaire HTML et envoyées à un serveur contrôlé par les hackers. Ces derniers ont alors tout le loisir d'infiltrer le compte de messagerie.
Les chercheurs en cybersécurité ont noté à plusieurs reprises des vagues ultérieures de courriels de phishing envoyés à partir de comptes Zimbra d'entreprises légitimes, qui avaient été précédemment ciblées. Il est probable que les cybercriminels aient compromis les comptes des victimes et créé de nouvelles boîtes mails, qui ont ensuite été à leur tour utilisées pour envoyer des courriels de phishing. Ce n'est pas la première fois que Zimbra est vulnéraile vis-à-vis des cybercriminels. En août et en octobre 2022 déjà, plusieurs failles de sécurité élevées et critiques avaient été détectées. En juillet dernier encore, de multiples vulnérabilités ont été repérées. Certaines d'entre elles auraient pu permettre à un attaquant "de provoquer un problème de sécurité non spécifié par l'éditeur, un contournement de la politique de sécurité et une atteinte à la confidentialité des données", selon le CERT-FR. Il ne faut donc surtout pas baisser sa garde !