ALLARME ZIMBRA: Attacchi Zero-Day Sfruttano i File .ICS per Rubare Dati Sensibili

I ricercatori di StrikeReady hanno identificato una serie di attacchi informatici mirati che hanno sfruttato una vulnerabilità zero-day (non ancora nota) nella Zimbra Collaboration Suite (ZCS), una piattaforma di posta elettronica open source ampiamente utilizzata da agenzie governative e aziende a livello globale.

La falla, identificata come CVE-2025-27915, è una vulnerabilità di tipo Cross-Site Scripting (XSS) causata da un filtraggio insufficiente dei contenuti HTML all'interno dei file di calendario in formato .ICS (iCalendar). Sfruttando questa debolezza, un aggressore può iniettare codice JavaScript dannoso e farlo eseguire nel contesto della sessione dell'utente.

L'Attacco e le Tattiche Sofisticate

L'attacco ha preso di mira in particolare un'organizzazione militare in Brasile, iniziando già all'inizio di gennaio, ben prima che Zimbra rilasciasse le patch correttive il 27 gennaio (aggiornamenti ZCS 9.0.0 P44, 10.0.13 e 10.1.5).

Gli aggressori hanno utilizzato una e-mail malevola, camuffata da messaggio ufficiale del Dipartimento di Protocollo della Marina libica, contenente un file ICS di circa 100 KB. Al suo interno, era nascosto un frammento JavaScript crittografato e codificato in Base64 che si attivava all'apertura dell'allegato.

Una volta decifrato, il codice JavaScript ha rivelato la sua sofisticata finalità: rubare dati sensibili da Zimbra Webmail, tra cui login, password, rubriche, email e cartelle pubbliche.

Le tattiche includevano:

Furto di Credenziali: Creazione di campi nascosti per intercettare le credenziali.

Persistenza e Re-intercettazione: Monitoraggio dell'attività dell'utente seguito da un logout forzato per catturare nuovamente l'accesso.

Esfiltrazione Dati: Accesso all'API SOAP di Zimbra per cercare e recuperare messaggi.

Reindirizzamento: Inoltro dei contenuti ogni quattro ore e aggiunta di un filtro denominato "Correo" per reindirizzare le email all'indirizzo Proton degli aggressori.

Difficile Rilevabilità e Attribuzione

La struttura del malware ha permesso all'attività dannosa di rimanere inosservata a lungo, anche grazie all'avvio ritardato e alla limitazione della riesecuzione. Secondo StrikeReady, attacchi di questo tipo sono difficili da rilevare con strumenti standard, poiché gli allegati di calendario sono tradizionalmente considerati sicuri dai sistemi di filtraggio.

Sebbene non sia stato possibile attribuire con certezza l'attacco a un gruppo specifico, gli esperti hanno notato somiglianze nei metodi con quelli precedentemente utilizzati dal gruppo UNC1151. L'incidente evidenzia come anche formati di file apparentemente innocui possano diventare vettori efficaci di codice dannoso se la convalida dei contenuti lato server è insufficiente.