CSIRT Toscana Campagna phishing a tema Zimbra (AL01/240524/CSIRT-ITA)
Data:
24 Maggio 2024 08:47
Descrizione e potenziali impatti
Questo CSIRT ha recentemente rilevato il riacutizzarsi di una campagna di phishing phishing a tema Zimbra – già trattata da questo CSIRT nell’ambito dell’AL03/240207/CSIRT-ITA – che prende di mira principalmente organizzazioni pubbliche e volta a carpire le credenziali utente delle potenziali vittime.
Nel dettaglio, tale campagna risulta veicolata tramite open redirect presente su un applicativo esposto sotto il dominio lecito m[.]jennybrooklin[.]com.
Qualora si segua il link proposto, la vittima viene reindirizzata ad una landing page malevola, che propone un form di autenticazione riportante loghi e riferimenti riconducibili ad una webmail Zimbra (Figura 1).
Nel caso in cui venga compilato il form ed effettuato il login, i dati verranno inviati ad una risorsa sotto il controllo dell’attaccante.
Azioni di mitigazione
Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
- non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
- accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati d’accesso.
Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC)1 forniti in allegato.
1Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.