Uma nova campanha de ciberataques, batizada pelos pesquisadores como Zoom Stealer, está atingindo cerca de 2,2 milhões de usuários dos navegadores Chrome, Firefox e Microsoft Edge.
A atuação ocorre por meio de 18 extensões que coletam dados relacionados a reuniões online, como URLs, IDs, tópicos, descrições e senhas embutidas.
O Zoom Stealer é uma das três campanhas de extensões que, juntas, totalizaram mais de 7,8 milhões de usuários afetados em sete anos.
Todas essas operações são atribuídas a um único grupo hacker conhecido como DarkSpectre.
Com base na infraestrutura usada, acredita-se que o DarkSpectre seja o mesmo agente responsável por ataques anteriores, como o GhostPoster, focado em usuários do Firefox, e o ShadyPanda, que entregava payloads de spyware para usuários do Chrome e Edge.
Segundo a empresa de segurança da cadeia de suprimentos Koi Security, o ShadyPanda permanece ativo por meio de nove extensões e mais 85 ‘sleepers’ — extensões que constroem uma base de usuários antes de se tornarem maliciosas por meio de atualizações.
Embora a conexão com a China já fosse conhecida, a atribuição agora está mais clara.
Entre as evidências estão servidores hospedados na Alibaba Cloud, registros ICP, fragmentos de código com strings e comentários em chinês, padrão de atividades compatível com o fuso horário chinês e monetização voltada ao comércio eletrônico local.
Nem todas as 18 extensões do Zoom Stealer são exclusivamente relacionadas a reuniões.
Algumas têm funções para baixar vídeos ou auxiliar em gravações, como o Chrome Audio Capture, com 800 mil instalações, e o Twitter X Video Downloader — ambos ainda disponíveis na Chrome Web Store no momento da publicação.
Os pesquisadores da Koi Security confirmam que as extensões funcionam normalmente e cumprem as funções para as quais foram desenvolvidas.
Todas as extensões da campanha Zoom Stealer solicitam acesso a 28 plataformas de videoconferência, incluindo Zoom, Microsoft Teams, Google Meet e Cisco WebEx.
Elas coletam dados como:
- URLs e IDs das reuniões, inclusive com senhas embutidas
- Status de registro, tópicos e horários agendados
- Nomes, títulos, biografias e fotos de perfis de palestrantes e anfitriões
- Logotipos, elementos gráficos e metadados das sessões
Essas informações são exfiltradas em tempo real via conexões WebSocket para os cibercriminosos.
A coleta ocorre quando as vítimas visitam páginas de inscrição, entram em reuniões ou navegam pelas plataformas.
De acordo com a Koi Security, esses dados podem ser usados para espionagem corporativa e inteligência de vendas, facilitando ataques de engenharia social ou a venda de links de reunião para concorrentes.
“Ao coletar sistematicamente links de reuniões, listas de participantes e informações corporativas de 2,2 milhões de usuários, o DarkSpectre criou um banco de dados capaz de alavancar ataques de impersonação em grande escala — fornecendo credenciais para acessar chamadas confidenciais, listas de participantes para identificar quem imitar e contexto para tornar a imitação mais convincente”, destaca o relatório da Koi Security.
Como muitas dessas extensões operaram de forma aparentemente inofensiva por longos períodos, os usuários devem revisar cuidadosamente as permissões solicitadas e restringir o número de extensões ao mínimo necessário.
A Koi Security já reportou as extensões maliciosas às plataformas responsáveis, mas muitas ainda estão disponíveis na Chrome Web Store.
A lista completa das extensões ativas vinculadas ao DarkSpectre foi divulgada pelos pesquisadores.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...