Alerta – Phishing zimbra Webmail
En las primeras semanas de este año nuevo 2022, se ha detectado un incremento en la recepción
de mensajes de correo SPAM, los cuales incluyen mensajes personalizados y mejor estructurados
para confundir a los usuarios, por lo que el riesgo de robo de información y/o infección
incrementa si los usuarios no son precavidos y confían en estos mensajes.
Recientemente el Laboratorio de Análisis de Malware de IMAGEN TI detecto un nuevo intento
de robo de credenciales por medio de mensajes phishing personalizados que invitan al usuario a
realizar la validación de su cuenta de correo electrónico introduciendo sus credenciales en una
página de login similar al weblogin de su servidor de correo.
En este caso puntual el weblogin suplantado es el de un servidor Zimbra Webmail, por lo que se
observa un conocimiento previo del atacante de la infraestructura de correo de la víctima.
El mensaje se envía desde cuentas de correo en un servidor temporal en el hosting nexcess.net:
“Soporte del Sistema” cdavis@95daf9a43a.nxcli.net
“Administrador” administrador@95daf9a43a.nxcli.ne
El mensaje incluye un enlace URL hacia una pagina de Acceso falsa que simula ser el servidor de Zimbra y
solicita al usuario ingresar sus credenciales:
https://95daf9a43a.nxcli.net/zmb/index.html
Posterior a ingresar las credenciales, el usuario es redirigido a una pagina de zimbra.com donde se valida
la supuesta confirmación de la cuenta
RECOMENDACIONES
Los servidores de correo comúnmente incluyen al menos un sistema antispam básico que
detectara y etiquetara los mensajes sospechosos sin embargo los ataques por correo electrónico
cada vez son mas avanzados y la suplantación de servicios reales dificulta su detección, por lo
que se recomienda la implementación de un filtrado especializado de mail, un servicio antispam
dedicado, así como la utilización de soluciones antimalware con modulos de protección de
protocolos de correo electrónico a nivel endpoint, filtrado web, antiphishing y la mejora de las
practicas de uso en los usuarios, y un control de procesos de validación y gestión de cuentas por
parte de los administradores, de tal forma que cuando los usuarios requieran validar su cuenta,
ellos reconozcan los procesos reales internos.