Badacze cyberbezpieczeństwa Koi Security zidentyfikowali nową kampanię, która na ten moment może wpływać na ponad 2 miliony użytkowników. Problem dotyczy przeglądarek Chrome, Firefox i Edge. Atakujący poprzez łącznie 18 rozszerzeń i dodatków pobierają newralgiczne informacje i dane, m.in. adresy URL, hasła, tematy i opisy publikowane w czasie spotkań.

Kampania zyskała nazwę Zoom Stealer i jest jedną z 3 kampanii tego typu z ostatnich 7 lat, która łącznie dotknęła niemal 8 milionów użytkowników. Poprzednie kampanie to Ghost Poster, skierowany w stronę Firefoxa oraz Shady Panda, dotykająca użytkowników Edge i Chrome.

Nie każde ze wspomnianych 18 rozszerzeń związanych jest ze spotkaniami. Niektóre miały pozwolić na pobieranie filmów, a inne nagrywać spotkania. W momencie informowania o tym przez serwis Bleeping Computer, rozszerzenie dla Chrome do przechwytywania nagrań audio, z blisko 800 000 pobrań, było dalej dostępne w sklepie Chrome Store.

Źródło: Koi Security

Wszystkie rozszerzenia żądają dostępu do 28 platform wideokonferencyjnych, wliczając najbardziej popularne: Zoom, Microsoft Teams, Google Meet czy Cisco Webex. Dane jakie są pobierane to adresy URL wraz z osadzonymi hasłami, statusy spotkań i tematy oraz notatki, zdjęcia profilowe i informacje o prelegentach czy metadane dotyczące sesji. Zbieranie danych rozpoczyna się w momencie rejestracji na wydarzenie lub dołączenia do spotkania.

Według badaczy, tego typu informacje mogą być wykorzystane do szpiegostwa korporacyjnego, planów sprzedażowych, a nawet sprzedaży linków do spotkań do konkurencji danej korporacji. Koi Security zgłosiło wszystkie wykryte dodatki do odpowiednich podmiotów hostujących dodatki.

Źródło: Bleeping Computer