Criminosos cibernéticos desconhecidos exploram falha no Roundcube Webmail em ataque de phishing

Hackers aproveitaram uma vulnerabilidade agora corrigida no Roundcube Webmail para conduzir um ataque de phishing com o objetivo de roubar credenciais de usuários deste software de webmail de código aberto. Pesquisadores da Positive Technologies alertam que atores de ameaça desconhecidos tentaram explorar essa vulnerabilidade, identificada como CVE-2024-37383 (com pontuação CVSS: 6.1), no Roundcube Webmail.

A falha foi usada pelos invasores como parte de uma campanha de phishing projetada para obter as credenciais de login dos usuários do Roundcube.

Detalhes do Ataque

Em setembro de 2024, a Positive Technologies identificou um e-mail enviado a uma organização governamental em um país da Comunidade dos Estados Independentes (CEI). A análise dos registros temporais (timestamps) revelou que o e-mail havia sido enviado em junho de 2024. O conteúdo da mensagem estava vazio, e o e-mail continha um documento anexado que não era visível no cliente de e-mail.

O corpo do e-mail incluía tags distintivas com o código eval(atob(…)), uma técnica usada pelos invasores para decodificar e executar código JavaScript. Os pesquisadores também notaram que o nome do atributo href no código incluía um espaço adicional (“href “), sugerindo uma tentativa de explorar a vulnerabilidade CVE-2024-37383 no Roundcube Webmail.

Impacto da Vulnerabilidade no Roundcube

Essa vulnerabilidade afeta versões do Roundcube anteriores à 1.5.7 e da série 1.6.x anteriores à 1.6.7. A falha permite que invasores executem ataques de Cross-Site Scripting (XSS) usando atributos animados em arquivos SVG. As versões 1.5.7 e 1.6.7, lançadas em maio de 2024, corrigiram essa vulnerabilidade.

Com a exploração desta falha, um invasor pode executar código JavaScript arbitrário no contexto do navegador web da vítima. Para isso, o atacante precisa induzir o usuário a abrir um e-mail malicioso utilizando uma versão vulnerável do cliente Roundcube.

Segundo o relatório da Positive Technologies:

“Quando um espaço extra é adicionado ao nome do atributo href, a sintaxe não é filtrada corretamente e aparece no documento final. Antes disso, o código é formatado como {nome do atributo} = {valor do atributo}. Ao inserir código JavaScript como valor para o href, podemos executá-lo na página do Roundcube sempre que o cliente abrir o e-mail malicioso.”

Os pesquisadores também divulgaram um código de prova de conceito (PoC) para demonstrar essa vulnerabilidade.

Método de Exploração

No ataque, o payload JavaScript utilizado cria um documento Word vazio (“Road map.docx”) e, ao mesmo tempo, utiliza o plugin ManageSieve para recuperar mensagens do servidor de e-mail. O ataque também gera um formulário de login falso na interface do Roundcube, capturando as credenciais do usuário e as enviando para um servidor malicioso hospedado no domínio libcdn.org, registrado em 2024.

Ameaça Persistente

Falhas no Roundcube Webmail têm sido frequentemente alvo de criminosos cibernéticos. Um dos ataques mais recentes foi atribuído ao grupo Winter Vivern, que explorou uma vulnerabilidade XSS no Roundcube para atacar organizações governamentais em diversos países europeus. No entanto, com base nas informações disponíveis, o ataque descrito neste relatório não pode ser diretamente vinculado a grupos de ameaça conhecidos.

O relatório da Positive Technologies conclui:

“Embora o Roundcube Webmail não seja o cliente de e-mail mais amplamente utilizado, ele continua sendo um alvo atrativo para hackers devido ao seu uso frequente por agências governamentais. Ataques contra esse software podem resultar em danos significativos, permitindo que criminosos cibernéticos roubem informações sensíveis.”