El correo de phishing es Roundcube Webmail – mandatory security patches un mensaje fraudulento que se hace pasar por el Webmail de Roundcube en un intento de robar las credenciales de la cuenta de correo. Afirma falsamente que se están implementando parches de seguridad obligatorios y actualizaciones de protocolos de autenticación e instruye a los destinatarios a revisar la configuración de su cuenta en un plazo de 24 horas para evitar perder el acceso a sus buzones. La notificación no la envía Roundcube y debe ser ignorada.
El correo electrónico suele presentarse como un aviso de seguridad automatizado con el asunto “Se necesita acción urgente”. Informa a los destinatarios de que sus cuentas de correo electrónico requieren atención inmediata porque se están implementando nuevas medidas de seguridad. Según el mensaje, no completar la revisión solicitada antes de la fecha límite puede resultar en la interrupción del acceso al correo electrónico o en la pérdida de mensajes entrantes. Estas afirmaciones se fabrican para presionar a los destinatarios a actuar sin verificar la legitimidad de la notificación.
Se indica a los destinatarios que hagan clic en el botón “Revisar configuración de correo electrónico” incrustado en el correo. En lugar de dirigir a los usuarios a una página legítima de inicio de sesión de Roundcube o al portal de correo web de su proveedor de alojamiento, el botón abre un sitio web de phishing diseñado para capturar las credenciales de acceso. Durante el análisis de esta campaña, se descubrió que la página de phishing estaba alojada en habitatcyprus.com, un sitio web legítimo que había sido comprometido y abusado para alojar el formulario de inicio de sesión fraudulento.
La página de inicio de sesión falsificada solicita la dirección de correo electrónico y la contraseña del visitante bajo el pretexto de completar la actualización de seguridad requerida. Introducir estas credenciales no actualiza la cuenta ni instala ningún parche de seguridad. En su lugar, la información se transmite directamente a los atacantes detrás de la campaña de phishing.
Una cuenta de correo comprometida puede exponer mucho más que solo los mensajes de correo. Los atacantes que obtienen acceso pueden leer conversaciones confidenciales, recopilar documentos sensibles, buscar correos electrónicos para restablecer contraseñas, hacerse pasar por el propietario de la cuenta o enviar mensajes de phishing adicionales desde el buzón comprometido. Dado que las cuentas de correo electrónico se utilizan comúnmente para recuperar acceso a otros servicios en línea, las credenciales robadas también pueden facilitar el acceso no autorizado a cuentas adicionales asociadas con la misma dirección de correo electrónico.
Un detalle importante de esta campaña es que abusa del nombre Roundcube para parecer legítimo. Roundcube es un software de correo web de código abierto instalado y gestionado por proveedores de alojamiento individuales. No es un servicio de correo electrónico independiente que envíe a los usuarios notificaciones de verificación de cuenta o actualizaciones de seguridad. El proyecto Roundcube ya había advertido anteriormente a usuarios sobre campañas de phishing que usan mal su nombre para robar credenciales.
Los atacantes se basan en la urgencia a lo largo del mensaje. Imponiendo un plazo de 24 horas y advirtiendo sobre la posible pérdida de acceso al buzón, intentan disuadir a los destinatarios de inspeccionar cuidadosamente el correo electrónico o de confirmar de forma independiente si la solicitud es genuina.
Cualquiera que introdujera las credenciales de acceso a través de la página de phishing enlazada en el correo electrónico de phishing Roundcube Webmail – mandatory security patches debe cambiar inmediatamente la contraseña de la cuenta afectada. Si la misma contraseña se ha reutilizado en otros lugares, esas cuentas también deberían estar protegidas. Se recomiendan pasar pasos adicionales para revisar la actividad de la cuenta en busca de inicios de sesión no autorizados y actualizar la información de recuperación.
El correo completo de phishing Roundcube Webmail – mandatory security patches está a continuación:
Subject: Urgent Action Needed
Roundcube Webmail
Hello, –
We are rolling out mandatory security patches and authentication protocol updates to better protect your account from unauthorized access and potential data exposure.
Please review the new settings associated with – and complete the required updates.
To avoid any disruption to your email access or potential loss of messages, we kindly ask that you complete these changes within the next 24 hours.
[Review Email Settings]
Regards,
Admin Support Team.This message was generated –
Cómo identificar correos electrónicos como ” Roundcube Webmail – mandatory security patches “
Una de las señales de advertencia más claras es un correo electrónico no solicitado que afirma que los parches de seguridad obligatorios deben aplicarse mediante un botón contenido en el mensaje. El mantenimiento legítimo de la cuenta normalmente puede realizarse iniciando sesión directamente en el portal oficial de correo web en lugar de seguir enlaces contenidos en correos electrónicos inesperados.
También se debe verificar el destino de los enlaces incrustados. En esta campaña, el botón “Revisar configuración de correo electrónico” conduce a habitatcyprus.com, que no tiene relación oficial con Roundcube ni con el proveedor de correo electrónico del destinatario. Una página de inicio de sesión alojada en un dominio no relacionado es un fuerte indicador de phishing.
Los destinatarios también deben desconfiar de los correos electrónicos que impongan plazos cortos y amenazan con restricciones de cuenta, a menos que se tomen medidas inmediatas. Crear urgencia artificial es una de las técnicas de ingeniería social más comunes utilizadas en campañas de phishing.
Otra señal de advertencia es cualquier solicitud para introducir credenciales de correo electrónico tras seguir un enlace recibido en un mensaje no solicitado. Los proveedores de alojamiento legítimos generalmente permiten a los usuarios gestionar la configuración de la cuenta tras acceder manualmente al portal oficial de webmail o al panel de hosting del proveedor.
El enfoque más seguro es ignorar los enlaces contenidos en notificaciones de seguridad inesperadas y, en su lugar, navegar directamente a la página oficial de inicio de sesión del correo web proporcionada por la empresa de alojamiento de correo. Si no aparece ninguna notificación correspondiente tras iniciar sesión, el correo puede considerarse un intento de phishing.