Atores de ameaças desconhecidos foram observados tentando explorar uma falha de segurança agora corrigida no software program de webmail de código aberto Roundcube como parte de um ataque de phishing projetado para roubar credenciais de usuários.
A empresa russa de segurança cibernética Constructive Applied sciences disse que descobriu no mês passado que um e-mail foi enviado para uma organização governamental não especificada localizada em um dos países da Comunidade de Estados Independentes (CEI). No entanto, vale ressaltar que a mensagem foi enviada originalmente em junho de 2024.
“O e-mail parecia ser uma mensagem sem texto, contendo apenas um documento anexado”, afirmou em análise publicada no início desta semana.
“No entanto, o cliente de e-mail não mostrou o anexo. O corpo do e-mail continha tags distintas com a instrução eval(atob(…)), que decodifica e executa o código JavaScript.”
A cadeia de ataque, de acordo com a Constructive Applied sciences, é uma tentativa de explorar CVE-2024-37383 (pontuação CVSS: 6.1), uma vulnerabilidade de script entre websites (XSS) armazenada por meio de atributos animados SVG que permite a execução de JavaScript arbitrário no contexto de navegador da vítima.
Em outras palavras, um invasor remoto pode carregar código JavaScript arbitrário e acessar informações confidenciais simplesmente enganando um destinatário de e-mail para que abra uma mensagem especialmente criada. O problema já foi resolvido nas versões 1.5.7 e 1.6.7 em maio de 2024.
“Ao inserir o código JavaScript como valor para “href”, podemos executá-lo na página do Roundcube sempre que um cliente do Roundcube abrir um e-mail malicioso”, observou Constructive Applied sciences.
A carga JavaScript, neste caso, salva o anexo vazio do Microsoft Phrase (“Street map.docx”) e, em seguida, prossegue para obter mensagens do servidor de e-mail usando o plug-in ManageSieve. Ele também exibe um formulário de login na página HTML exibida ao usuário em uma tentativa de enganar as vítimas para que forneçam suas credenciais do Roundcube.
No estágio ultimate, as informações de nome de usuário e senha capturadas são exfiltradas para um servidor remoto (“libcdn(.)org”) hospedado na Cloudflare.
Atualmente não está claro quem está por trás da atividade de exploração, embora falhas anteriores descobertas no Roundcube tenham sido abusadas por vários grupos de hackers, como APT28, Winter Vivern e TAG-70.
“Embora o webmail Roundcube possa não ser o cliente de e-mail mais usado, ele continua sendo um alvo para hackers devido ao seu uso predominante por agências governamentais”, disse a empresa. “Os ataques a este software program podem resultar em danos significativos, permitindo que os cibercriminosos roubem informações confidenciais.”