Selon la télémétrie Eset, le plus grand nombre de cibles sont situées en Pologne. Cependant, les victimes potentielles dans d’autres pays européens tels que l’Ukraine, l’Italie, la France et les Pays-Bas sont également ciblées. Les pays d’Amérique latine ont également été touchés, l’Équateur est en tête de liste des détections dans cette région.
Bien que cette campagne ne soit pas particulièrement sophistiquée techniquement, elle est capable de se diffuser et de compromettre avec succès les organisations qui utilisent Zimbra. « Les adversaires tirent parti du fait que les pièces jointes HTML contiennent du code légitime, le seul élément malintentionné étant un lien pointant vers l’hôte malveillant. De cette manière, il est facile de contourner les politiques antispam basées sur la réputation et celles qui traquent le lien d’hameçonnage directement placé dans le corps de l’e-mail », explique Viktor Šperka, le chercheur chez Eset qui a découvert la campagne.
Une attaque en quatre étapes
L’attaque se déroule en quatre étapes bien distinctes. Tout d’abord, la cible reçoit un courriel contenant une page d’hameçonnage dans le fichier HTML joint. Le courriel prétexte une mise à jour du serveur de messagerie, une désactivation de compte ou un problème similaire et invite l’utilisateur à cliquer sur le fichier joint. L’adversaire falsifie également le champ « From : » du courriel pour se faire passer pour un administrateur de serveur de messagerie.Après avoir ouvert la pièce jointe, l’utilisateur se voit présenter une fausse page de connexion Zimbra personnalisée aux couleurs de l’organisation ciblée. Le fichier HTML s’ouvre dans le navigateur de la victime, ce qui peut lui faire croire qu’elle a été dirigée vers la page de connexion légitime, alors que l’URL pointe vers un chemin de fichier local. Notez que le champ « Nom d’utilisateur » est prérempli dans le formulaire de connexion, ce qui le fait apparaître plus légitime. En arrière-plan, les informations d’identification soumises sont collectées dans le formulaire HTML et envoyées par requête HTTPS POST à un serveur contrôlé par l’adversaire.
« Il est intéressant de noter qu’à plusieurs reprises, nous avons observé des vagues ultérieures de courriels de phishing envoyés à partir de comptes Zimbra d’entreprises légitimes précédemment ciblées, telles que donotreply[redacted]@[redacted].com », précise Eset.
Contourner les politiques antispam basées sur la réputation
Il est probable que les attaquants aient pu compromettre les comptes d’administrateur de la victime et créer de nouvelles boîtes aux lettres qui ont ensuite été utilisées pour envoyer des courriels d’hameçonnage à d’autres cibles. L’une des explications est que l’adversaire compte sur la réutilisation des mots de passe par l’administrateur ciblé, c’est-à-dire l’utilisation des mêmes informations d’identification pour le courrier électronique et pour l’administration. « Les données disponibles ne nous permettent pas de confirmer cette hypothèse », tempère Viktor Šperka.Bien que cette campagne ne soit pas aussi sophistiquée sur le plan technique, elle est tout de même capable de se propager et de compromettre avec succès les organisations qui utilisent Zimbra Collaboration. Les attaquants exploitent le fait que les pièces jointes HTML contiennent du code légitime et que le seul élément révélateur est un lien pointant vers l’hôte malveillant. De cette manière, il est beaucoup plus facile de contourner les politiques antispam basées sur la réputation, par rapport aux techniques d’hameçonnage où un lien malveillant est directement placé dans le corps de l’e-mail.
Une stratégie de contournement particulièrement efficace
Traditionnellement, ces politiques évaluent la fiabilité d’un message en fonction de l’adresse e-mail de l’expéditeur, du contenu du message, et d’autres marqueurs de réputation. En utilisant du code HTML légitime dans les pièces jointes et en masquant le lien malveillant, les attaquants parviennent à tromper ces filtres. De plus, ils exploitent des comptes e-mail d’entreprises légitimes, rendant leurs messages encore plus crédibles et difficiles à identifier comme étant du spam ou de l’hameçonnage.L’utilisation de comptes d’entreprises légitimes pourrait également indiquer que les attaquants ont accès aux comptes d’administrateurs, leur permettant ainsi de créer de nouvelles boîtes mail pour perpétrer leurs attaques. Cette stratégie de contournement s’avère particulièrement efficace, car elle capitalise sur la réputation établie de ces comptes. Cette stratégie déjà efficace pour leurrer les filtres antispam est d’autant plus efficace qu’elle repose sur la popularité de Zimbra parmi les organisations à budget informatique plus modeste, faisant de cette plateforme une cible de choix.