Na pewno już korzystałeś z rozszerzeń przeglądarki, aby poprawić swoje doświadczenia z przeglądaniem lub ułatwić organizację spotkań online. Ale czy kiedykolwiek zastanawiałeś się nad informacjami, które nieświadomie udostępniasz, korzystając z tych pozornie niewinnych narzędzi? W tym artykule ujawniamy wyrafinowaną kampanię szpiegowską, która kryje się za tymi popularnymi rozszerzeniami, przekształcając twoje wirtualne spotkania w kopalnię informacji dla złośliwych aktorów.
3 informacje, których nie można przegapić
- Kampania szpiegowska o nazwie Zoom Stealer zaatakowała miliony wirtualnych spotkań za pośrednictwem popularnych rozszerzeń przeglądarki.
- Te dobrze oceniane i funkcjonalne rozszerzenia zostały zainstalowane na około 2,2 miliona przeglądarek, aby przechwytywać wrażliwe dane.
- Grupa DarkSpectre jest podejrzewana o zorganizowanie tej operacji, wykorzystując zaawansowane techniki do zbierania informacji o spotkaniach.
Zoom Stealer: wyrafinowana kampania szpiegowska
Badacze z Koi Security niedawno odkryli szeroko zakrojoną operację szpiegowską wykorzystującą dobrze oceniane rozszerzenia przeglądarki do infiltracji spotkań online. Ta kampania, znana jako Zoom Stealer, wykorzystuje około dwudziestu modułów dla przeglądarek Chrome, Edge i Firefox. Te rozszerzenia, dalekie od bycia oszukańczymi narzędziami, są zaprojektowane do wykonywania legalnych zadań, takich jak nagrywanie dźwięku, pobieranie wideo i zarządzanie spotkaniami.
Mimo ich nieszkodliwego wyglądu, te moduły wymagają rozległych uprawnień, umożliwiając im dostęp do 28 usług wideokonferencyjnych, w tym Zoom, Microsoft Teams i Google Meet. Wstrzykując skrypty w interfejsy tych usług, rozszerzenia mogą wyodrębniać wrażliwe informacje, takie jak linki do spotkań, identyfikatory i hasła, tematy i harmonogramy sesji.
Zagrożenia związane z pozornie nieszkodliwymi danymi
Na pierwszy rzut oka informacje zbierane przez Zoom Stealer mogą wydawać się mało kompromitujące. Jednak na dużą skalę te fragmenty danych tworzą bazę, która pozwala na mapowanie nawyków spotkań wielu organizacji. Konsekwencje mogą być poważne: dyskretne podsłuchiwanie spotkań, ukierunkowane kampanie phishingowe, kradzież tożsamości i celowanie komercyjne. Zbieranie tych danych odbywa się dyskretnie, dzięki trwałym połączeniom ustanowionym przez rozszerzenia.
DarkSpectre: aktor stojący za zagrożeniem
Według Koi Security, kampania Zoom Stealer jest zorganizowana przez złośliwego aktora o nazwie DarkSpectre. Ta grupa jest już znana z wcześniejszych ataków, takich jak ShadyPanda i GhostPoster. W tych operacjach DarkSpectre używał pozornie legalnych rozszerzeń produktywności, do których z czasem dodano funkcje monitorowania. Te ataki pokazują zdolność DarkSpectre do wdrażania zaawansowanych technik w celu zbierania wrażliwych informacji na dużą skalę.
Porady dotyczące ochrony spotkań
Aby zabezpieczyć się przed tego typu zagrożeniami, zaleca się ograniczenie liczby zainstalowanych rozszerzeń na stanowiskach pracy, usuwając te, których pochodzenie jest niepewne lub które wymagają szerokiego dostępu do narzędzi wideokonferencyjnych. Regularnie sprawdzaj listę dozwolonych modułów w swojej firmie, tak jak robisz to z hasłami i prawami dostępu.
Grupa DarkSpectre: niepokojąca historia
DarkSpectre to dobrze znana grupa cyberprzestępców w środowisku bezpieczeństwa informatycznego za swoje operacje nadzoru cyfrowego. Wykorzystując zaawansowane techniki, DarkSpectre przeprowadził kilka kampanii szpiegowskich, celując w miliony użytkowników na całym świecie. Ich zdolność do ukrywania złośliwych funkcji w popularnych rozszerzeniach pokazuje stałą ewolucję ich metod, co sprawia, że wykrywanie i zapobieganie atakom jest jeszcze trudniejsze dla profesjonalistów zajmujących się cyberbezpieczeństwem.
