Gebruikers van de webmail van Roundcube, Horde, MDaemon en Zimbra zijn het doelwit van cross-site scripting (XSS) aanvallen geworden. Dat laat antivirusbedrijf ESET in een vandaag verschenen analyse weten. Via de aanvallen werd geprobeerd om inloggegevens voor het e-mailaccount, contacten, inloggeschiedenis en e-mailberichten te stelen. In het geval van MDaemon probeerden de aanvallers ook het two-factor authentication secret buit te maken.

Personen die het doelwit van de XSS-aanvallen waren ontvingen spearphishingmails die voorzien waren van malafide code. Wanneer het doelwit de e-mail opende werd er malafide JavaScript in de webmailpagina geïnjecteerd die zoals gezegd allerlei informatie stal. Doelwitten waren overheden in Afrika, Europa en Zuid-Amerika, alsmede Europese defensiebedrijven, aldus ESET. De aanvallen vonden plaats in 2023 en 2024, waarbij de laatste aanvallen afgelopen december nog werden waargenomen.

In het geval van de XSS-kwetsbaarheden in Horde, Roundcube en Zimbra ging het om bekende problemen waarvoor updates beschikbaar waren. Niet alle systeembeheerders hadden deze patches echter uitgerold. Voor het MDaemon-lek was op het moment van de aanval nog geen update beschikbaar. Volgens ESET zijn webmailservers zoals Roundcube en Zimbra een geliefd doelwit voor spionagegroepen. "Omdat veel organisaties hun webmailservers niet up-to-date houden en omdat de kwetsbaarheden op afstand zijn te misbruiken door een e-mail te versturen, is het zeer handig voor aanvallers om dit soort servers aan te vallen voor het stelen van e-mail."