Badacze cyberbezpieczeństwa ujawnili rozległą kampanię złośliwych rozszerzeń przeglądarek, która przez lata systematycznie gromadziła dane ze spotkań biznesowych online. Operacja, określona jako Zoom Stealer, objęła łącznie 2,2 mln użytkowników Chrome, Firefoksa i Microsoft Edge, a pozyskane informacje mogły zostać wykorzystane do szpiegostwa korporacyjnego oraz precyzyjnych ataków socjotechnicznych.
Zgodnie z raportem opublikowanym przez Koi Security, Zoom Stealer jest jedną z trzech długofalowych kampanii prowadzonych przez tego samego operatora, znanego pod nazwą DarkSpectre. Łącznie wszystkie operacje miały w ciągu siedmiu lat doprowadzić do infekcji ponad 7,8 mln przeglądarek.
Funkcjonalne dodatki, ukryta telemetria
W ramach Zoom Stealer wykorzystywano 18 rozszerzeń przeglądarkowych i, co istotne, nie były to prymitywne narzędzia malware. Część dodatków oferowała realne i zgodne z opisem funkcje, takie jak nagrywanie dźwięku w przeglądarce czy pobieranie materiałów wideo z serwisów społecznościowych. Przykładem jest Chrome Audio Capture, które zgromadziło około 800 tys. instalacji i w momencie publikacji raportu przez cały czas było dostępne w Chrome Web Store.
Jak podkreślają autorzy analizy, długotrwałe „czyste” działanie rozszerzeń pozwalało zbudować zaufanie użytkowników, zanim do kodu trafiały mechanizmy zbierania danych.
Wywiad ze spotkań online
Rozszerzenia żądały dostępu do 28 platform wideokonferencyjnych, w tym Zoom, Microsoft Teams, Google Meet oraz Cisco WebEx. Po uzyskaniu uprawnień zbierały adresy URL spotkań, identyfikatory i osadzone hasła, informacje o rejestracji, tematy i harmonogramy sesji, a także dane o prelegentach, gospodarzach i firmach organizujących wydarzenia.
Według raportu dane te były przesyłane w czasie rzeczywistym dzięki połączeń WebSocket, uruchamianych w momencie rejestracji na webinar, dołączania do spotkania lub choćby samej nawigacji po platformie konferencyjnej.
Systematyczne gromadzenie linków do spotkań, list uczestników i kontekstu biznesowego tworzy bazę danych, która może napędzać masowe operacje podszywania się pod pracowników firm – wskazują analitycy Koi Security.
Atrybucja i reakcja
Raport wskazuje na wyraźne ślady łączące kampanię z Chinami, w tym infrastrukturę opartą na Alibaba Cloud, chińskie rejestracje ICP, fragmenty kodu z komentarzami w języku chińskim oraz aktywność zgodną z tamtejszą strefą czasową. Model monetyzacji miał być dodatkowo dostosowany do realiów chińskiego rynku handlu elektronicznego.
Badacze zgłosili zidentyfikowane rozszerzenia operatorom sklepów z dodatkami, jednak część z nich wciąż pozostaje dostępna. Eksperci podkreślają, iż przypadek Zoom Stealer pokazuje, jak łatwo narzędzia uznawane za „produktywne” mogą stać się wektorem wycieku wrażliwych informacji biznesowych.
