Adathalász kampány Lengyelországban
A Lengyel kiberbiztonsági központ, a CERT Polska jelentése szerint a UNC1151 célzott adathalász kampányt indított lengyel szervezetek ellen, kihasználva a Roundcube webmail kliens CVE-2024-42009 azonosítójú sebezhetőségét. Ez a sérülékenység lehetővé teszi, hogy a támadók tetszőleges JavaScript kódot futtassanak a felhasználó böngészőjében, amint az megnyit egy speciálisan kialakított e-mailt.
A támadók olyan e-maileket küldtek, amelyek sürgető tárgymezővel próbálták rávenni a címzetteket a levél megnyitására. A levél megnyitása után a beágyazott kód egy Service Worker-t telepített a böngészőbe, amely képes volt elfogni és továbbítani a bejelentkezési adatokat a támadók szerverére. Ezt követően a felhasználót a Roundcube bejelentkezési oldalára irányították, ahol a Service Worker rögzítette a megadott hitelesítő adatokat.
A támadás során a támadók a megszerzett hozzáféréseket további adathalász e-mailek küldésére, valamint a postafiókok tartalmának és címjegyzékének letöltésére használták. Bár a CVE-2025-49113 azonosítójú újabb Roundcube sebezhetőséget ebben a kampányban nem használták ki, annak kombinálása a jelenlegi támadással súlyosabb következményekkel járhat.
A CERT Polska javasolja a Roundcube legfrissebb verziójára való frissítést, a hálózati naplók ellenőrzését a gyanús tevékenységek azonosítása érdekében, valamint a Service Worker-ek eltávolítását a böngészőből. Az érintett felhasználóknak ajánlott a jelszavak megváltoztatása és a fióktevékenységek felülvizsgálata.