Lo CSIRT-Italia: EmailThief sfrutta vulnerabilità 0-day su Zimbra. L’obiettivo della campagna è rubare informazioni sensibili alle vittime che aprono i messaggi malevoli dal client

Si chiama operazione EmailThief ed è una campagna di spear-phishing, veicolata verso media e organizzazioni governative europee, volta allo sfruttamento di una vulnerabilità 0-day – di tipo Cross-Site Scripting e presente su Zimbra – al fine di sottrarre informazioni sensibili. Lo denunciano gli esperti di cybersecurity del CSIRT-Italia. Gli attacchi, osservati per la prima volta a dicembre 2021 – prevedono due fasi di infezione, volte a distribuire e-mail opportunamente predisposte per:

• tracciare la ricezione e l’apertura dei messaggi malevoli;
• attirare le vittime verso siti malevoli sfruttando riferimenti relativi a vari temi quali: richieste di interviste, inviti ad aste di beneficenza, messaggi di auguri, messaggi provenienti da compagnie aeree e promozioni Amazon Prime.

Affinché l’attacco vada a buon fine, la vittima deve visitare il contenuto malevolo presente nella mail dal proprio client webmail Zimbra. Tale azione consentirebbe agli aggressori l’esecuzione arbitraria di codice JavaScript nel contesto della sessione Zimbra al fine di esfiltrare, tramite cookie, i dati di accesso alla casella di posta.