As extensões de navegador continuam a ser um vetor de ataque privilegiado para cibercriminosos, e uma nova campanha massiva acaba de ser descoberta. Denominada "Zoom Stealer", esta operação está a afetar milhões de utilizadores em todo o mundo, recolhendo dados sensíveis de plataformas de videoconferência populares.
Segundo um relatório recente da Koi Security, a campanha visa especificamente utilizadores do Chrome, Firefox e Microsoft Edge, utilizando 18 extensões aparentemente legítimas para exfiltrar informações críticas.
Uma rede de espionagem silenciosa
A campanha "Zoom Stealer" não é um incidente isolado, mas sim parte de uma operação mais vasta orquestrada por um ator de ameaça conhecido como DarkSpectre. Este grupo é responsável por três campanhas distintas que, em conjunto, atingiram mais de 7,8 milhões de utilizadores ao longo de sete anos.
As investigações ligam o DarkSpectre a campanhas anteriores já documentadas, como o GhostPoster, que visava o Firefox, e a ShadyPanda, conhecida por distribuir spyware. O que torna esta nova vaga particularmente perigosa é o facto de as extensões funcionarem exatamente como anunciado, o que leva os utilizadores a baixarem a guarda.
Entre as extensões identificadas encontram-se ferramentas populares como o "Chrome Audio Capture", que conta com 800.000 instalações, e o "Twitter X Video Downloader". Muitas destas aplicações maliciosas permanecem disponíveis na Chrome Web Store, continuando a acumular vítimas.
O que está em risco e como funciona
O foco principal do "Zoom Stealer" é a inteligência corporativa. As extensões solicitam permissões para aceder a 28 plataformas de videoconferência diferentes, incluindo o Zoom, o Microsoft Teams, o Google Meet e o Cisco WebEx.
Assim que uma vítima visita uma página de registo de um webinar, entra numa reunião ou navega nestas plataformas, a extensão ativa-se. Os dados recolhidos são vastos e preocupantes:
URLs e IDs das reuniões, incluindo palavras-passe incorporadas nos links.
Tópicos das reuniões, horários agendados e estado do registo.
Nomes dos oradores e anfitriões, cargos, biografias e fotografias de perfil.
Metadados da sessão e logótipos das empresas.
Toda esta informação é enviada em tempo real para os servidores dos atacantes através de conexões WebSocket. A Koi Security alerta que estes dados podem ser usados para espionagem industrial, permitindo que concorrentes ou agentes maliciosos se infiltrem em chamadas confidenciais ou realizem ataques de engenharia social altamente convincentes.
A atribuição do ataque à China tornou-se mais clara devido à infraestrutura utilizada (servidores na Alibaba Cloud), artefactos de código com caracteres chineses e padrões de atividade que coincidem com o fuso horário daquele país.
Para se proteger, recomenda-se uma revisão imediata de todas as extensões instaladas no navegador, removendo aquelas que não são estritamente necessárias ou que solicitam permissões excessivas para o seu funcionamento.
Nenhum comentário
Seja o primeiro!