Uma nova campanha de engenharia social em massa está mirando usuários do servidor de e-mail Zimbra Collaboration com o objetivo de coletar suas credenciais de login para uso em operações subsequentes.

,A atividade, ativa desde abril de 2023, tem como alvo uma ampla gama de pequenas e médias empresas e entidades governamentais em países como Polônia, Equador, México, Itália e Rússia.

A campanha não foi atribuída a nenhum ator ou grupo de ameaças conhecido. Inicialmente, o alvo recebe um e-mail com uma página de phishing no arquivo HTML anexado.

O e-mail alerta o alvo sobre uma atualização do servidor de e-mail, desativação de conta ou problema semelhante, e direciona o usuário a clicar no arquivo anexado.

As mensagens também falsificam o endereço do remetente para parecer que estão vindo de um administrador do Zimbra, em uma tentativa provável de convencer os destinatários a abrir o anexo.

O que torna os ataques notáveis é a capacidade de se propagar ainda mais. Campanhas subsequentes de phishing aproveitaram contas de empresas legítimas, sugerindo que as contas de administrador infiltradas associadas a essas vítimas foram usadas para enviar e-mails a outras entidades de interesse.