{"id":18394,"date":"2023-08-21T22:59:43","date_gmt":"2023-08-22T02:59:43","guid":{"rendered":"https:\/\/www.notaoficial.com\/s\/?p=18394"},"modified":"2023-08-21T22:59:43","modified_gmt":"2023-08-22T02:59:43","slug":"campana-masiva-de-phishing-ataca-en-america-latina","status":"publish","type":"post","link":"https:\/\/www.notaoficial.com\/s\/2023\/08\/21\/campana-masiva-de-phishing-ataca-en-america-latina\/","title":{"rendered":"Campa\u00f1a masiva de phishing ataca en Am\u00e9rica Latina"},"content":{"rendered":"<p>El equipo de investigaci\u00f3n de <a href=\"https:\/\/www.eset.com\/latam\/\">ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, descubri\u00f3 una campa\u00f1a masiva de phishing activa desde al menos abril de 2023, destinada a recolectar credenciales de cuenta de usuarios de\u00a0<i>Zimbra Collaboration<\/i>. La campa\u00f1a se est\u00e1 difundiendo masivamente y sus objetivos son una variedad de peque\u00f1as y medianas empresas, como tambi\u00e9n entidades gubernamentales.<\/p>\n<p><i>Zimbra Collaboration<\/i>\u00a0es una plataforma colaborativa de software,\u00a0<a href=\"https:\/\/en.wikipedia.org\/wiki\/Open-core_model\"><i>open-core,\u00a0<\/i><\/a>y una alternativa muy popular para administrar correos electr\u00f3nicos empresariales.<\/p>\n<p>De acuerdo a la telemetr\u00eda de ESET, el mayor n\u00famero de afectados se localizan en Polonia, seguida por Ecuador e Italia. En Latinoam\u00e9rica, adem\u00e1s, apunt\u00f3 a objetivos en M\u00e9xico, Argentina, Chile, Per\u00fa y Brasil.<\/p>\n<p>Las organizaciones atacadas var\u00edan, no se focaliza en ninguna vertical espec\u00edfica; la \u00fanica conexi\u00f3n entre las v\u00edctimas es que utilizan\u00a0<i>Zimbra<\/i>. A la fecha, no se ha atribuido esta campa\u00f1a a ning\u00fan actor de amenazas conocido.<\/p>\n<p>Inicialmente, el objetivo recibe un email con una p\u00e1gina de\u00a0<i>phishing<\/i>\u00a0en un archivo HTML adjunto. El email advierte al usuario sobre una actualizaci\u00f3n del servidor de email, desactivaci\u00f3n de la cuenta, o un asunto similar, y le ordena hacer\u00a0<i>clic\u00a0<\/i>en el archivo adjunto. El atacante tambi\u00e9n falsifica el campo\u00a0De:\u00a0del correo electr\u00f3nico para que parezca procedente del administrador del servidor de email.<\/p>\n<p>Luego de abrir el archivo adjunto, al usuario le aparece una p\u00e1gina falsa de inicio de sesi\u00f3n a Zimbra personalizada de acuerdo a la organizaci\u00f3n de pertenencia. El archivo HTML se abre en el navegador de la v\u00edctima, que puede ser inducida a pensar que est\u00e1 siendo redirigida a una p\u00e1gina leg\u00edtima, a pesar de que la URL dirige a una ruta local. Se destaca que el campo \u201cUsername\u201d se rellena autom\u00e1ticamente en el formulario de inicio, lo que lo hace parecer m\u00e1s leg\u00edtimo a\u00fan.<\/p>\n<p>En segundo plano, las credenciales enviadas se recopilan desde el formulario HTML y se env\u00edan mediante una petici\u00f3n HTTPS POST al servidor que controla el atacante.<\/p>\n<p>\u201cCuriosamente, en varias ocasiones, desde ESET se observaron oleadas posteriores de emails de phishing enviadas desde cuentas de Zimbra que hab\u00edan sido atacadas previamente, de compa\u00f1\u00edas leg\u00edtimas, como donotreply[redacted]@[redacted].com.<\/p>\n<p>Es probable que los atacantes tengan la capacidad de comprometer el administrador de cuentas de la v\u00edctima y de crear nuevos buzones de correo que usar\u00edan para enviar emails de phishing a otros objetivos. Una explicaci\u00f3n es que el atacante se vale del reciclado de contrase\u00f1as que pueda hacer el administrador atacado \u2013 por ej. que utilice las mismas credenciales para el email y para la administraci\u00f3n. Con la informaci\u00f3n disponible, no estamos en condiciones de confirmar esta hip\u00f3tesis.\u201d, comenta Camilo Guti\u00e9rrez Amaya, Jefe del Laboratorio de Investigaci\u00f3n de ESET Latinoam\u00e9rica.<\/p>\n<p>Seg\u00fan ESET, a pesar de que la campa\u00f1a no es sofisticada, t\u00e9cnicamente hablando, es capaz de difundirse y comprometer a las organizaciones que usan Zimbra Collaboration, lo que la hace atractiva para los atacantes. \u201cEl hecho de que los adjuntos HTML contengas c\u00f3digo leg\u00edtimo, y el \u00fanico elemento revelador sea un elemento que conecta con un host malicioso, es lo que los atacantes aprovechan. De esta forma, es m\u00e1s f\u00e1cil eludir las pol\u00edticas antispam, en comparaci\u00f3n a las t\u00e9cnicas de phishing en las que el link est\u00e1 directamente en el cuerpo el correo electr\u00f3nico. La popularidad de Zimbra entre las organizaciones de las que se espera que tengan menor presupuesto en IT, asegura que siga siendo un objetivo atractivo para los cibercriminales.\u201d, concluye Guti\u00e9rrez Amaya, de ESET Latinoam\u00e9rica.<\/p>\n<p>Para conocer m\u00e1s sobre seguridad inform\u00e1tica visite el portal de noticias de ESET: https:\/\/www.welivesecurity.com\/es\/investigaciones\/campana-phishing-zimbra-afecta-america-latina\/<\/p>\n<p>Por otro lado, ESET invita a conocer Conexi\u00f3n Segura, su podcast para saber qu\u00e9 est\u00e1 ocurriendo en el mundo de la seguridad inform\u00e1tica. Para escucharlo ingrese a: https:\/\/open.spotify.com\/show\/0Q32tisjNy7eCYwUNHphcw<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El equipo de investigaci\u00f3n de ESET, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, descubri\u00f3 una campa\u00f1a masiva de phishing activa desde al menos abril de 2023, destinada a recolectar credenciales de cuenta de usuarios de\u00a0Zimbra Collaboration. La campa\u00f1a se est\u00e1 difundiendo masivamente y sus objetivos son una variedad de peque\u00f1as y medianas empresas, como tambi\u00e9n [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":18395,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[93,146,2],"tags":[988,10040],"wppr_data":{"cwp_meta_box_check":"No"},"_links":{"self":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/18394"}],"collection":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/comments?post=18394"}],"version-history":[{"count":1,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/18394\/revisions"}],"predecessor-version":[{"id":18396,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/18394\/revisions\/18396"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media\/18395"}],"wp:attachment":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media?parent=18394"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/categories?post=18394"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/tags?post=18394"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}