Une campagne récemment découverte, que les chercheurs appellent Zoom Stealer, affecte 2,2 millions d’utilisateurs de Chrome, Firefox et Microsoft Edge via 18 extensions qui collectent des données liées aux réunions en ligne telles que des URL, des IDENTIFIANTS, des rubriques, des descriptions et des mots de passe intégrés.
Zoom Stealer est l’une des trois campagnes d’extension de navigateur qui ont touché plus de 7,8 millions d’utilisateurs en sept ans et qui sont attribuées à un seul acteur de la menace suivi sous le nom de DarkSpectre.
Sur la base de l’infrastructure utilisée, DarkSpectre serait le même acteur menaçant lié à la Chine derrière le GhostPoster précédemment documenté, qui ciblait les utilisateurs de Firefox, et ShadyPanda, qui fournissait des charges utiles de logiciels espions aux utilisateurs de Chrome et Edge.
ShadyPanda reste actif à travers 9 extensions et 85 « dormeurs » supplémentaires qui construisent une base d’utilisateurs avant de devenir malveillants via des mises à jour, selon des chercheurs de la société de sécurité de la chaîne d’approvisionnement Koi Security.
Bien que la connexion avec la Chine existait auparavant, l’attribution est désormais plus claire sur la base des serveurs d’hébergement sur Alibaba Cloud, des enregistrements ICP, des artefacts de code contenant des chaînes et des commentaires en chinois, des modèles d’activité correspondant au fuseau horaire chinois et un ciblage de la monétisation adapté au commerce électronique chinois.
Renseignements sur les réunions d’entreprise
Les 18 extensions de la campagne Zoom Stealer ne sont pas toutes liées à une réunion, et certaines d’entre elles peuvent être utilisées pour télécharger des vidéos ou comme assistants d’enregistrement: Chrome Audio Capture avec 800 000 installations et Twitter X Video Downloader. Les deux sont toujours disponibles sur le Chrome Web Store au moment de la publication.
Les chercheurs en sécurité de Koi notent que les extensions sont toutes fonctionnelles et fonctionnent comme annoncé.
Selon les chercheurs, toutes les extensions de la campagne Zoom Stealer demandent l’accès à 28 plateformes de vidéoconférence (par exemple, Zoom, Microsoft Teams, Google Meet et Cisco WebEx) et collectent les données suivantes:
- URL et IDENTIFIANTS de réunion, y compris les mots de passe intégrés
- Statut d’inscription, sujets et horaires programmés
- Noms des conférenciers et des hôtes, titres, biographies et photos de profil
- Logos d’entreprise, graphiques et métadonnées de session
Ces données sont exfiltrées via des connexions WebSocket et transmises aux acteurs de la menace en temps réel. Cette activité est déclenchée lorsque les victimes visitent les pages d’inscription au webinaire, rejoignent des réunions ou naviguent sur des plateformes de conférence.
Koi Security affirme que ces données peuvent être utilisées pour l’espionnage industriel et l’intelligence commerciale, qui pourraient être utilisées dans des attaques d’ingénierie sociale ou même pour vendre des liens de réunion à des concurrents.
« En collectant systématiquement des liens de réunion, des listes de participants et des renseignements d’entreprise auprès de 2,2 millions d’utilisateurs, DarkSpectre a créé une base de données qui pourrait alimenter des opérations d’usurpation d’identité à grande échelle-fournissant aux attaquants des informations d’identification pour rejoindre des appels confidentiels, des listes de participants pour savoir qui usurper l’identité, et le contexte pour rendre ces usurpations convaincantes », note le rapport de Koi Security.
Étant donné que bon nombre de ces extensions ont fonctionné de manière inoffensive pendant de longues périodes, les utilisateurs doivent examiner attentivement les autorisations requises par les extensions et limiter leur nombre au minimum nécessaire.
Koi Security a signalé les extensions incriminées, mais beaucoup sont toujours présentes sur le Chrome Web Store. Les chercheurs ont publié la liste complète des extensions DarkSpectre actives.
Breachtrace a contacté InfinityNewTab et Google pour un commentaire et nous mettrons à jour l’article lorsque nous aurons de ses nouvelles.