Una nueva campaña llamada Zoom Stealer ha sido descubierta por investigadores, afectando a 2,2 millones de usuarios en Chrome, Firefox y Microsoft Edge a través de 18 extensiones que recogen información sobre reuniones online, tales como URL, ID, temas, descripciones y contraseñas integradas.

Zoom Stealer es una de las tres campañas de extensiones de navegador que han llegado a más de 7,8 millones de usuarios en los últimos siete años, y se atribuye a un único grupo de amenazas identificado como DarkSpectre.

Se cree que DarkSpectre es el mismo actor vinculado a China responsable de GhostPoster, que atacó a usuarios de Firefox, y ShadyPanda, que distribuyó spyware a usuarios de Chrome y Edge.

ShadyPanda sigue activo a través de 9 extensiones y 85 adicionales que permanecen inactivas hasta que se vuelven maliciosas mediante actualizaciones, según los expertos de Koi Security.

Aunque ya existía una conexión con China, la atribución se ha vuelto más clara gracias al uso de servidores en Alibaba Cloud, registros ICP, fragmentos de código con cadenas y comentarios en chino, patrones de actividad que coinciden con la zona horaria china y tácticas de monetización adaptadas al comercio electrónico chino.

Inteligencia sobre reuniones corporativas

No todas las 18 extensiones de Zoom Stealer están relacionadas exclusivamente con reuniones; algunas permiten la descarga de videos o actúan como asistentes de grabación, como Chrome Audio Capture, que tiene 800.000 instalaciones, y Twitter X Video Downloader. Ambas continuaban disponibles en la Chrome Web Store al momento de la publicación.

Los investigadores indican que todas las extensiones de la campaña Zoom Stealer requieren acceso a 28 plataformas de videoconferencia, incluyendo Zoom, Microsoft Teams, Google Meet y Cisco WebEx, y recopilan información como:

  • URLs e IDs de reuniones, incluyendo contraseñas
  • Estado de registro, temas y horarios programados
  • Nombres, cargos, biografías y fotos de perfil de oradores y anfitriones
  • Logotipos, gráficos y metadatos de las sesiones empresariales

Estos datos son capturados mediante conexiones WebSocket y se envían a los atacantes en tiempo real. Esta actividad se activa cuando las víctimas visitan páginas de registro para seminarios web, se unen a reuniones o navegan en plataformas de videoconferencia.

Koi Security advierte que esta información puede ser utilizada para espionaje corporativo y estrategias de ventas, facilitando ataques de ingeniería social o la venta de enlaces de reuniones a competidores.

«Al recopilar sistemáticamente enlaces de reuniones, listas de participantes e información corporativa de 2,2 millones de usuarios, DarkSpectre ha creado una base de datos que podría permitir operaciones de suplantación a gran escala, brindando a los atacantes credenciales para unirse a reuniones confidenciales, listas de participantes para identificar a sus objetivos y contexto para hacer que esas suplantaciones sean más creíbles», indica el informe de Koi Security.

Dado que muchas de estas extensiones funcionaron de manera aparentemente inofensiva durante períodos prolongados, se aconseja a los usuarios que revisen cuidadosamente los permisos solicitados y limiten su número al mínimo necesario.

Koi Security ha reportado las extensiones que infringen las normas, aunque muchas permanecen en la Chrome Web Store. Los investigadores han publicado una lista completa de las extensiones activas de DarkSpectre.

Fuente:
BC


Con Información de blog.segu-info.com.ar