Se ha observado que actores maliciosos desconocidos intentan explotar una falla de seguridad ahora parcheada en el software de correo web de código abierto Roundcube en un ataque de phishing diseñado para robar credenciales de usuario.
La empresa rusa de ciberseguridad Positive Technologies dijo que descubrió el mes pasado que se había enviado un correo electrónico a una organización gubernamental no especificada ubicada en uno de los países de la Comunidad de Estados Independientes (CEI). Cabe señalar, sin embargo, que el mensaje se envió originalmente en junio de 2024.
“El correo electrónico parecía ser un mensaje sin texto, que contenía sólo un documento adjunto”, dijo. dicho en un análisis publicado a principios de esta semana.
“Sin embargo, el cliente de correo electrónico no mostró el archivo adjunto. El cuerpo del correo electrónico contenía etiquetas distintivas con la declaración eval(atob(…)), que decodifica y ejecuta el código JavaScript”.
La cadena de ataque, según Positive Technologies, es un intento de explotar CVE-2024-37383 (Puntuación CVSS: 6.1), una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada a través de SVG animado atributos que permiten la ejecución de JavaScript arbitrario en el contexto del navegador web de la víctima.
En otras palabras, un atacante remoto podría cargar código JavaScript arbitrario y acceder a información confidencial simplemente engañando al destinatario de un correo electrónico para que abra un mensaje especialmente diseñado. Desde entonces el problema ha sido resuelto en las versiones 1.5.7 y 1.6.7 a partir de mayo de 2024.
“Al insertar código JavaScript como valor de ‘href’, podemos ejecutarlo en la página de Roundcube cada vez que un cliente de Roundcube abre un correo electrónico malicioso”, señaló Positive Technologies.
En este caso, la carga útil de JavaScript guarda el archivo adjunto vacío de Microsoft Word (“Road map.docx”) y luego procede a obtener los mensajes del servidor de correo utilizando el complemento ManageSieve. También muestra un formulario de inicio de sesión en la página HTML que se muestra al usuario con el objetivo de engañar a las víctimas para que proporcionen sus credenciales de Roundcube.
En el paso final, la información de nombre de usuario y contraseña capturada se extrae a un servidor remoto (“libcdn[.]organización“) alojado en Cloudflare.
Actualmente no está claro quién está detrás de esta actividad de explotación, aunque vulnerabilidades anteriores descubiertas en Roundcube han sido explotadas por varios grupos de hackers como APT28, Winter Vivern y TAG-70.
“Si bien el correo web Roundcube puede no ser el cliente de correo electrónico más utilizado, sigue siendo un objetivo para los piratas informáticos debido a su uso generalizado por parte de las agencias gubernamentales”, dijo la compañía. “Los ataques contra este software pueden causar daños importantes y permitir a los ciberdelincuentes robar información confidencial”.