CSIRT Toscana Campagna phishing a tema Zimbra (AL04/250820/CSIRT-ITA)
Data:
20 Agosto 2025 17:27
Sintesi
Questo CSIRT ha recentemente rilevato il riacutizzarsi di una campagna di phishing a tema Zimbra – come già trattato da questo CSIRT nell’ambito dell’ AL01/240524/CSIRT-ITA e dell’ AL03/240207/CSIRT-ITA – volta a carpire le credenziali utente delle potenziali vittime.
Descrizione e potenziali impatti
Questo CSIRT ha recentemente rilevato il riacutizzarsi di una campagna di phishing a tema Zimbra – come già trattato da questo CSIRT nell’ambito dell’ AL01/240524/CSIRT-ITA e dell’ AL03/240207/CSIRT-ITA – volta a carpire le credenziali utente delle potenziali vittime.
La campagna, veicolata tramite mail, informa la potenziale vittima della necessità di verificare e confermare i dati relativi al proprio account mail per evitare l’eliminazione dello stesso (Figura 1).
La mail esorta quindi a cliccare sull’URL presente nel corpo del testo per procedere alla conferma dell’account mail. Qualora si segua il link proposto, la vittima viene reindirizzata ad una landing page malevola, che propone un form di autenticazione riportante loghi e riferimenti riconducibili ad una webmail Zimbra (Figura 2)
Nel caso in cui venga compilato il form ed effettuato il login, i dati verranno inviati ad una risorsa sotto il controllo dell’attaccante.
Azioni di mitigazione
Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
- non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
- accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati d’accesso;
Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) [1] forniti in allegato.
[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.
Indicatori di compromissione
| Tipologia | Indicatore |
|---|---|
| email-subject | Conferma subito la tua identit� email |
| url | https://firebasestorage.googleapis.com/v0/b/update-75442.appspot.com/o/index.html?alt=media&token=165130e2-1933-440c-9cd6-c5318f159807 |
| url | https://firebasestorage.googleapis.com/v0/b/weneedit2-d75da.appspot.com/o/loading.html?alt=media&token=e66ba931-5fbf-4d84-bc4f-8ea44da44d68 |
| email-src-display-name | Z!mbra Service |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 20-08-2025 | 20/08/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link