La información de nombre de usuario y contraseña capturada se filtra a un servidor remoto
Se ha observado que actores de amenazas desconocidos intentan explotar una falla de seguridad ahora parcheada en el software de correo web de código abierto Roundcube como parte de un ataque de phishing diseñado para robar credenciales de usuario.
La empresa rusa de ciberseguridad Positive Technologies dijo que descubrió el mes pasado que se envió un correo electrónico a una organización gubernamental no especificada ubicada en uno de los países de la Comunidad de Estados Independientes (CEI). Sin embargo, cabe señalar que el mensaje se envió originalmente en junio de 2024.
"El correo electrónico parecía ser un mensaje sin texto, que sólo contenía un documento adjunto", dijo en un análisis publicado a principios de esta semana.
"Sin embargo, el cliente de correo electrónico no mostró el archivo adjunto. El cuerpo del correo electrónico contenía etiquetas distintivas con la instrucción eval(atob(...)), que decodifica y ejecuta el código JavaScript".
La cadena de ataque, según Positive Technologies, es un intento de explotar CVE-2024-37383 (puntuación CVSS: 6,1), una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada a través de atributos animados SVG que permite la ejecución de JavaScript arbitrario en el contexto del navegador web de la víctima.
En otras palabras, un atacante remoto podría cargar código JavaScript arbitrario y acceder a información confidencial simplemente engañando a un destinatario de correo electrónico para que abra un mensaje especialmente diseñado. El problema se ha resuelto desde entonces en las versiones 1.5.7 y 1.6.7 a partir de mayo de 2024.
"Al insertar código JavaScript como valor de "href", podemos ejecutarlo en la página de Roundcube cada vez que un cliente de Roundcube abra un correo electrónico malicioso", señaló Positive Technologies.
La carga útil de JavaScript, en este caso, guarda el archivo adjunto vacío de Microsoft Word ("Road map.docx") y luego procede a obtener mensajes del servidor de correo mediante el complemento ManageSieve. También muestra un formulario de inicio de sesión en la página HTML que se muestra al usuario en un intento de engañar a las víctimas para que proporcionen sus credenciales de Roundcube.
En la etapa final, la información de nombre de usuario y contraseña capturada se filtra a un servidor remoto ("libcdn[.]org") alojado en Cloudflare.
Actualmente no está claro quién está detrás de la actividad de explotación, aunque fallas anteriores descubiertas en Roundcube han sido aprovechadas por múltiples grupos de piratas informáticos como APT28, Winter Vivern y TAG-70.
"Aunque Roundcube Webmail no sea el cliente de correo electrónico más utilizado, sigue siendo un objetivo para los piratas informáticos debido a su uso frecuente por parte de agencias gubernamentales", afirmó la empresa. "Los ataques a este software pueden provocar daños importantes, lo que permite a los cibercriminales robar información confidencial".
