Phishing avançado

Roundcube Webmail sob ataque: hackers exploram falha em campanha de phishing

Pesquisadores alertam sobre uma campanha de phishing que explora uma vulnerabilidade corrigida no Roundcube Webmail, visando roubar credenciais de usuários.

Imagem com a logomarca do Roundcube

Pesquisadores da Positive Technologies revelaram que hackers desconhecidos tiraram proveito de uma vulnerabilidade já corrigida no Roundcube Webmail para realizar um ataque de phishing visando roubar credenciais de usuários. Essa falha, identificada como CVE-2024-37383, possui um índice CVSS de 6.1.

Detalhes do ataque ao Roundcube Webmail

Em setembro de 2024, a equipe de pesquisa descobriu um e-mail enviado a uma organização governamental em um país da CIS, cuja análise revelou que a mensagem foi datada de junho de 2024. O conteúdo do e-mail estava em branco, apresentando apenas um documento anexo invisível no cliente de e-mail.

O corpo da mensagem continha marcas específicas com a instrução eval(atob(…)), que os atacantes utilizaram para decodificar e executar código JavaScript. Além disso, foi observado que o nome do atributo (attributeName=”href “) incluía um espaço extra, indicando que o e-mail era uma tentativa de explorar a vulnerabilidade CVE-2024-37383 no Roundcube Webmail.

Imagem com a logomarca do Roundcube

Impacto da vulnerabilidade

A falha afeta as versões do Roundcube Webmail anteriores a 1.5.7 e 1.6.x antes de 1.6.7, permitindo que um atacante realize ataques XSS por meio de atributos de animação SVG. Essa vulnerabilidade foi corrigida nas versões 1.5.7 e 1.6.7, lançadas em maio de 2024.

Os invasores poderiam explorar a falha convencendo a vítima a abrir um e-mail especialmente elaborado utilizando uma versão vulnerável do cliente Roundcube. “Quando um espaço extra é adicionado ao nome do atributo ‘href’, a sintaxe não será filtrada e aparecerá no documento final. Antes disso, será formatada como {nome do atributo} = {valor do atributo}”, afirma o relatório da Positive Technologies. “Ao inserir código JavaScript como o valor de ‘href’, conseguimos executá-lo na página do Roundcube sempre que um cliente do Roundcube abrir um e-mail malicioso.”

Executando o ataque

Os pesquisadores também publicaram um código de prova de conceito (PoC) para a vulnerabilidade. O código JavaScript utilizado na ação salvava um documento Word vazio (“Road map.docx”) e recuperava mensagens do servidor de e-mail através do plugin ManageSieve.

O ataque criava um formulário de login falso na interface do Roundcube, capturando as credenciais dos usuários e enviando-as para um servidor malicioso (libcdn.org), cujo domínio foi registrado em 2024.

Conclusão

“Vulnerabilidades no Roundcube Webmail têm sido um alvo frequente para cibercriminosos. O ataque mais recente estava ligado ao grupo Winter Vivern, que explorou a vulnerabilidade XSS no Roundcube para atacar organizações governamentais em vários países europeus. No entanto, com base nas informações disponíveis, o ataque descrito neste artigo não pode ser vinculado a atores conhecidos”, conclui o relatório. “Embora o Roundcube Webmail não seja o cliente de e-mail mais amplamente utilizado, continua sendo um alvo para hackers devido ao seu uso predominante por agências governamentais. Ataques a esse software podem resultar em danos significativos, permitindo que cibercriminosos roubem informações sensíveis.”