E-mail- en collaboratiesoftware Zimbra is doelwit van een massale phising-campagne. Dat zegt beveiligingsbedrijf ESET. De campagne is actief sinds april 2023 en loopt nog steeds.
Zimbra, dat onderdeel is van Synacor dat het in 2015 overnam van VMware, is een platform voor e-mail en samenwerking. De opensource variant is een alternatief voor Microsoft Exchange en Google Gmail en wordt in Nederland vooral aangeboden door hosting providers.
De doelwitten van de campagne zijn verschillende kleine en middelgrote bedrijven en overheidsinstellingen. Volgens de telemetrie van ESET bevindt het grootste aantal doelwitten zich in Polen; slachtoffers in andere Europese landen zoals Oekraïne, Italië, Frankrijk en Nederland zijn echter ook het doelwit. Latijns-Amerikaanse landen werden ook getroffen; Ecuador staat bovenaan de lijst van gedetecteerde aanvallen in die regio.
Ondanks het feit dat deze campagne technisch niet bijzonder geavanceerd is, is deze toch in staat om zich te verspreiden en met succes organisaties te compromitteren die Zimbra Collaboration gebruiken. Bijlagen bevatten HTML-code met een link naar een kwaadaardige host. Dar is een inlogpagina te zien, waarmee de aanvallers de inloggegevens buitmaken.
De campagne lijkt niet gericht op een specifieke groep gebruikers of bedrijven. De enige overeenkomst die ESET tot nu toe heeft gevonden is dat ze Zimbra gebruiken.