Polska stała się celem zaawansowanej kampanii phishingowej, w której wykorzystano krytyczną lukę w popularnym systemie webmailowym Roundcube. Atak został przypisany grupie UNC1151, powiązanej z białoruskimi służbami państwowymi i, według niektórych źródeł, z rosyjskim wywiadem.
CERT Polska poinformował, że atakujący wykorzystali podatność CVE-2024-42009, umożliwiającą wykonanie złośliwego kodu JavaScript po prostu poprzez otwarcie spreparowanej wiadomości e-mail. Wiadomości te, stylizowane na pilne faktury, zawierały tytuły takie jak „[!WAŻNE] Faktura do rezerwacji nr: S2500650676” i były zaprojektowane tak, aby wzbudzić zaufanie odbiorcy.
Zobacz też: Devil Torrents
Po otwarciu wiadomości złośliwy kod rejestrował w przeglądarce ofiary tzw. Service Workera, który przechwytywał dane logowania i przesyłał je na serwer kontrolowany przez atakujących. Ten zaawansowany mechanizm pozwalał na kradzież danych bez wiedzy użytkownika, jednocześnie umożliwiając mu normalne korzystanie z poczty.
Grupa UNC1151, znana z wcześniejszych kampanii dezinformacyjnych i cyberataków w regionie Europy Środkowo-Wschodniej, po raz pierwszy wykorzystała tę konkretną lukę w Roundcube. Atak ten podkreśla rosnące zagrożenie ze strony państwowych aktorów cybernetycznych oraz potrzebę ciągłego monitorowania i aktualizacji systemów bezpieczeństwa.
Sprawdź też: Podsłuch przez mikrofon w laptopie
CERT Polska zaleca administratorom systemów natychmiastową aktualizację Roundcube do najnowszej wersji oraz edukację użytkowników w zakresie rozpoznawania podejrzanych wiadomości e-mail. W obliczu rosnącej liczby zaawansowanych ataków phishingowych, świadomość i odpowiednie procedury bezpieczeństwa stają się kluczowe dla ochrony danych i infrastruktury cyfrowej.