Zimbra com vulnerabilidade é alvo de grupos hacker

Zimbra com vulnerabilidade é alvo de grupos hacker

O grupo hacker conhecido como Winter Vivern, agora tem como alvo autoridades na Europa e nos EUA como parte de uma campanha de espionagem cibernética.

“Desde pelo menos fevereiro de 2023, o TA473 aproveitou continuamente uma vulnerabilidade não corrigida do Zimbra em portais de webmail voltados para o público que lhes permite obter acesso às caixas de correio de entidades governamentais na Europa”, disse a Proofpoint em um novo relatório.

A empresa de segurança corporativa está rastreando a atividade sob seu próprio apelido TA473 (também conhecido como UAC-0114), descrevendo-a como uma equipe adversária cujas operações se alinham com os objetivos geopolíticos da Rússia e da Bielorrússia.

Os ataques vêm com URLs maliciosas que exploram a falha de cross-site scripting (XSS) no Zimbra para executar cargas de JavaScript personalizadas codificadas em Base64 nos portais de webmail das vítimas para exfiltrar nomes de usuário, senhas e tokens de acesso.

Vale a pena observar que cada carga útil do JavaScript é adaptada ao portal de webmail de destino, indicando que o agente da ameaça está disposto a investir tempo e recursos para reduzir a probabilidade de detecção.

Previna-se

Caso sua empresa utilize Zimbra e-mail é altamente recomendado manter/atualizar seus serviços e servidor de e-mail para não ser alvo de cibercriminosos.