Atores de ameaças desconhecidos foram vistos tentando explorar uma falha de segurança agora corrigida no software de webmail de código aberto do Roundcube como parte de um ataque de phishing projetado para roubar informações do usuário.
A empresa russa de segurança cibernética Positive Technologies disse que descobriu no mês passado que o e-mail foi enviado para uma agência governamental não especificada localizada em um dos países da Comunidade de Estados Independentes (CEI). Porém, vale ressaltar que a mensagem foi enviada originalmente em junho de 2024.
“O e-mail parecia ser uma mensagem de texto simples, contendo apenas um documento anexado”, afirmou uma análise publicada no início desta semana.
“No entanto, o cliente de e-mail não exibiu o anexo. O corpo do e-mail continha tags separadas com uma instrução eval(atob(…)), que decodifica e executa o código JavaScript.”
A cadeia de ataque, de acordo com a Positive Technologies, é uma tentativa de explorar CVE-2024-37383 (pontuação CVSS: 6.1), uma vulnerabilidade de cross-site scripting (XSS) usando atributos SVG que permitem a execução de JavaScript inadequado no contexto do navegador da vítima.
Em outras palavras, um invasor remoto pode fazer upload de código JavaScript malicioso e acessar informações confidenciais enganando o destinatário do e-mail para que abra uma mensagem especialmente criada. O problema foi resolvido nas versões 1.5.7 e 1.6.7 a partir de maio de 2024.
“Ao incluir o código JavaScript como um valor “href”, podemos usá-lo na página do Roundcube sempre que um cliente do Roundcube abrir um e-mail malicioso”, observa Positive Technologies.
A carga JavaScript, neste caso, armazena um anexo vazio do Microsoft Word (“Road map.docx”) e passa a receber mensagens do servidor de e-mail usando o plug-in ManageSieve. Ele também exibe um formulário de login em uma página HTML exibida ao usuário com o objetivo de enganar as vítimas para que forneçam suas credenciais do Roundcube.
Na última etapa, as informações de nome de usuário e senha capturadas são exportadas para o servidor remoto (“libcdn[.]org”) está hospedado na Cloudflare.
Ainda não está claro quem está por trás da exploração, embora falhas anteriores encontradas no Roundcube tenham sido exploradas por vários grupos de hackers, como APT28, Winter Vivern e TAG-70.
“Embora o webmail Roundcube possa não ser o cliente de e-mail mais usado, ele continua sendo um alvo para hackers devido ao seu uso generalizado por agências governamentais”, disse a empresa. “Um ataque a este software pode causar sérios danos, permitindo que hackers roubem informações confidenciais.”
