Se ha observado que actores de amenazas desconocidos intentan explotar una falla de seguridad ahora parcheada en el software de correo web de código abierto Roundcube como parte de un ataque de phishing diseñado para robar credenciales de usuario.
La compañía rusa de seguridad cibernética Positive Technologies dijo que descubrió el mes pasado un correo electrónico que fue enviado a una organización gubernamental no especificada ubicada en uno de los países de la Comunidad de Estados Independientes (CEI). Sin embargo, vale la pena señalar que el mensaje se envió originalmente en junio de 2024.
«El correo electrónico parecía ser un mensaje sin texto, que contenía solo un documento adjunto», dijo en un análisis publicado a principios de esta semana.
«Sin embargo, el cliente de correo electrónico no mostró el archivo adjunto. El cuerpo del correo electrónico contenía etiquetas distintivas con la declaración eval(atob(…)), que decodifican y ejecutan código JavaScript».
La cadena de ataque, según Positive Technologies, es un intento de explotar CVE-2024-37383 (puntuación CVSS: 6.1), una vulnerabilidad almacenada de secuencias de comandos entre sitios (XSS) a través de atributos animados SVG que permite la ejecución de JavaScript arbitrario en el contexto del navegador web de la víctima.
Dicho de otra manera, un atacante remoto podría cargar código JavaScript arbitrario y acceder a información confidencial simplemente engañando a un destinatario de correo electrónico para que abra un mensaje especialmente diseñado. Desde entonces, el problema se ha resuelto en las versiones 1.5.7 y 1.6.7 a partir de mayo de 2024.
«Al insertar código JavaScript como valor para ‘href’, podemos ejecutarlo en la página de Roundcube cada vez que un cliente de Roundcube abre un correo electrónico malicioso», señaló Positive Technologies.
La carga útil de JavaScript, en este caso, guarda el archivo adjunto vacío de Microsoft Word («Road map.docx») y, a continuación, procede a obtener mensajes del servidor de correo mediante el complemento ManageSieve. También muestra un formulario de inicio de sesión en la página HTML que se muestra al usuario en un intento de engañar a las víctimas para que proporcionen sus credenciales de Roundcube.
En la etapa final, la información capturada de nombre de usuario y contraseña se filtra a un servidor remoto («libcdn[.]org«) alojado en Cloudflare.
Actualmente no está claro quién está detrás de la actividad de explotación, aunque las fallas anteriores descubiertas en Roundcube han sido abusadas por múltiples grupos de piratas informáticos como APT28, Winter Vivern y TAG-70.
«Si bien el correo web de Roundcube puede no ser el cliente de correo electrónico más utilizado, sigue siendo un objetivo para los piratas informáticos debido a su uso frecuente por parte de las agencias gubernamentales», dijo la compañía. «Los ataques a este software pueden resultar en daños significativos, lo que permite a los ciberdelincuentes robar información confidencial».