Zoom Stealer: extensiones de navegador que recopilan información de reuniones corporativas

Una campaña recién descubierta, denominada por los investigadores como Zoom Stealer, está afectando a 2,2 millones de usuarios de Chrome, Firefox y Microsoft Edge a través de 18 extensiones que recopilan datos relacionados con reuniones en línea, como URL, ID, temas, descripciones y contraseñas integradas.

Zoom Stealer es una de las tres campañas de extensiones de navegador que alcanzaron a más de 7,8 millones de usuarios durante siete años y se atribuyen a un único actor de amenazas identificado como DarkSpectre.

Basándose en la infraestructura utilizada, se cree que DarkSpectre es el mismo actor de amenazas vinculado a China que está detrás de GhostPoster, previamente documentado, que atacaba a usuarios de Firefox, y ShadyPanda, que distribuyera cargas útiles de spyware a usuarios de Chrome y Edge.

ShadyPanda permanece activo a través de 9 extensiones y 85 extensiones durmientes adicionales que crean una base de usuarios antes de volverse maliciosas mediante actualizaciones, según afirman los investigadores de la empresa de seguridad de la cadena de suministro Koi Security.

Aunque la conexión con China ya existía, la atribución ahora es más clara gracias al alojamiento de servidores en Alibaba Cloud, los registros ICP, los artefactos de código que contienen cadenas y comentarios en chino, los patrones de actividad que coinciden con la zona horaria china y la segmentación de monetización adaptada al comercio electrónico chino.

Inteligencia de reuniones corporativas

Las 18 extensiones de la campaña Zoom Stealer no están todas relacionadas con reuniones, y algunas pueden usarse para descargar videos o como asistentes de grabación: Chrome Audio Capture, con 800.000 instalaciones, y Twitter X Video Downloader. Ambas seguían disponibles en la Chrome Web Store al momento de la publicación.

Según los investigadores, todas las extensiones de la campaña Zoom Stealer solicitan acceso a 28 plataformas de videoconferencia (p. ej., Zoom, Microsoft Teams, Google Meet y Cisco WebEx) y recopilan los siguientes datos:

• URL e ID de reuniones, incluyendo contraseñas integradas
• Estado de registro, temas y horarios programados
• Nombres, cargos, biografías y fotos de perfil de oradores y anfitriones
• Logotipos, gráficos y metadatos de la sesión de la empresa

Estos datos se extraen mediante conexiones WebSocket y se transmiten a los atacantes en tiempo real. Esta actividad se activa cuando las víctimas visitan las páginas de registro de seminarios web, se unen a reuniones o navegan por plataformas de videoconferencias.

Koi Security afirma que estos datos pueden utilizarse para espionaje corporativo e inteligencia de ventas, lo que podría emplearse en ataques de ingeniería social o incluso para vender enlaces de reuniones a la competencia.

"Mediante la recopilación sistemática de enlaces de reuniones, listas de participantes e información corporativa de 2,2 millones de usuarios, DarkSpectre ha creado una base de datos que podría impulsar operaciones de suplantación de identidad a gran escala, proporcionando a los atacantes credenciales para unirse a llamadas confidenciales, listas de participantes para saber a quién suplantar y contexto para que esas suplantaciones sean convincentes", señala el informe de Koi Security.

Dado que muchas de estas extensiones funcionaron de forma inocua durante períodos prolongados, se recomienda a los usuarios revisar cuidadosamente los permisos que requieren y limitar su número al mínimo necesario.

Koi Security reportó las extensiones infractoras, pero muchas siguen presentes en Chrome Web Store. Los investigadores publicaron la lista completa de extensiones activas de DarkSpectre.

Fuente: BC

Suscríbete a nuestro Boletín