Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Campagna phishing a tema Zimbra (AL04/250820/CSIRT-ITA)

Data:
20 Agosto 2025 17:27

Sintesi

Questo CSIRT ha recentemente rilevato il riacutizzarsi di una campagna di phishing a tema Zimbra – come già trattato da questo CSIRT nell’ambito dell’ AL01/240524/CSIRT-ITA e dell’ AL03/240207/CSIRT-ITA – volta a carpire le credenziali utente delle potenziali vittime.

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato il riacutizzarsi di una campagna di phishing a tema Zimbra – come già trattato da questo CSIRT nell’ambito dell’ AL01/240524/CSIRT-ITA e dell’ AL03/240207/CSIRT-ITA – volta a carpire le credenziali utente delle potenziali vittime.

La campagna, veicolata tramite mail, informa la potenziale vittima della necessità di verificare e confermare i dati relativi al proprio account mail per evitare l’eliminazione dello stesso (Figura 1).

Figura 1 - E-mail di phishing
Figura 1 – E-mail di phishing

La mail esorta quindi a cliccare sull’URL presente nel corpo del testo per procedere alla conferma dell’account mail. Qualora si segua il link proposto, la vittima viene reindirizzata ad una landing page malevola, che propone un form di autenticazione riportante loghi e riferimenti riconducibili ad una webmail Zimbra (Figura 2)

Figura 2 - Landing page di phishing
Figura 2 – Landing page di phishing

Nel caso in cui venga compilato il form ed effettuato il login, i dati verranno inviati ad una risorsa sotto il controllo dell’attaccante.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

  • fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
  • non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
  • accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati d’accesso;

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) [1] forniti in allegato.

[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

Indicatori di compromissione

Tipologia Indicatore
email-subject Conferma subito la tua identit� email
url https://firebasestorage.googleapis.com/v0/b/update-75442.appspot.com/o/index.html?alt=media&token=165130e2-1933-440c-9cd6-c5318f159807
url https://firebasestorage.googleapis.com/v0/b/weneedit2-d75da.appspot.com/o/loading.html?alt=media&token=e66ba931-5fbf-4d84-bc4f-8ea44da44d68
email-src-display-name Z!mbra Service

Change log

Versione Note Data
1.0 Pubblicato il 20-08-2025 20/08/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link