Il CSIRT Italia ha identificato una nuova ondata di attacchi di phishing che sfruttano il tema di Zimbra, un sistema di posta elettronica ampiamente utilizzato. Questa campagna di phishing, già oggetto di segnalazione dal CSIRT nell’ambito del bollettino AL03/240207/CSIRT-ITA, è diretta principalmente verso le organizzazioni pubbliche, con l’obiettivo di rubare le credenziali degli utenti.
Come avviene l’attacco
Gli attaccanti veicolano questa campagna utilizzando un open redirect presente su un applicativo, accessibile dal dominio m[.]jennybrooklin[.]com. Qualora si clicca sul link fornito, gli utenti vengono indirizzati una landing page malevola che propone un form di autenticazione riportante i loghi e i riferimenti riconducibili a una webmail Zimbra. Se l’utente compila il form ed effettua il login, i dati vengono inviati a una risorsa controllata dai cybercriminali.
Come proteggersi
Per difendersi da questo tipo di minaccia, sia gli utenti che le organizzazioni devono prestare particolare attenzione alle e-mail ricevute verificandole scrupolosamente e attivare le seguenti misure di sicurezza aggiuntive:
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
- non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
- accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati d’accesso.
Infine, il CSIRT Italia raccomanda di verificare e implementare gli Indicatori di Compromissione (IoC) sui propri sistemi di sicurezza, forniti in allegato sull’avviso di questa campagna malevola.
https://www.csirt.gov.it/contenuti/campagna-phishing-a-tema-zimbra-al01-240524-csirt-ita
