Zoom Stealer là một trong ba chiến dịch tiện ích mở rộng trình duyệt đã tiếp cận hơn 7,8 triệu người dùng trong vòng bảy năm và được cho là do một tác nhân đe dọa duy nhất có tên DarkSpectre gây ra.
Dựa trên cơ sở hạ tầng, DarkSpectre được cho là có liên quan đến nhóm tin tặc GhostPoster đến từ Trung Quốc từng ghi nhận trước đó, nhắm mục tiêu vào người dùng Firefox và ShadyPanda, phát tán phần mềm gián điệp đến người dùng Chrome và Edge. Theo các nhà nghiên cứu tại Công ty bảo mật chuỗi cung ứng Koi Security, đến nay ShadyPanda vẫn hoạt động thông qua 9 tiện ích mở rộng.
.png)
Luồng hoạt động của chiến dịch
Mặc dù mối liên hệ với Trung Quốc vốn tồn tại từ trước, nhưng hiện nay việc xác định nguồn gốc đã rõ ràng hơn dựa trên các máy chủ lưu trữ trên Alibaba Cloud, các đoạn mã và chú thích bằng tiếng Trung, các mẫu hoạt động phù hợp với múi giờ Trung Quốc.
18 tiện ích mở rộng trong chiến dịch Zoom Stealer không chỉ liên quan đến các cuộc họp và một số trong số chúng có thể được sử dụng để tải xuống video hoặc hỗ trợ ghi âm: Chrome Audio Capture với 800.000 lượt cài đặt và Twitter X Video Downloader. Cả hai vẫn có sẵn trên Chrome Web Store tại thời điểm hiện tại. Koi Security lưu ý tất cả các tiện ích mở rộng đều hoạt động tốt và đúng như mô tả.
.png)
Tiện ích mở rộng Chrome Audio Capture
Theo các nhà nghiên cứu, tất cả các tiện ích mở rộng trong chiến dịch Zoom Stealer đều yêu cầu quyền truy cập vào 28 nền tảng ứng dụng hội nghị trực tuyến (ví dụ: Zoom, Microsoft Teams, Google Meet và Cisco WebEx) và thu thập các dữ liệu sau:
- URL và ID cuộc họp, bao gồm cả mật khẩu được nhúng.
- Tình trạng đăng ký, chủ đề và thời gian dự kiến.
- Tên, chức danh và ảnh chân dung của diễn giả và người điều hành cuộc họp.
- Logo công ty, đồ họa và phiên metadata.
Dữ liệu này được đánh cắp thông qua kết nối WebSocket và truyền trực tiếp đến các tác nhân đe dọa. Hoạt động sẽ kích hoạt khi nạn nhân truy cập các trang đăng ký hội thảo trực tuyến, tham gia cuộc họp hoặc sử dụng các nền tảng hội nghị trực tuyến.
Koi Security cho rằng những dữ liệu này có thể được sử dụng cho hoạt động gián điệp doanh nghiệp và thu thập thông tin bán hàng, trong các cuộc tấn công kỹ nghệ xã hội hoặc thậm chí để rao bán các liên kết cuộc họp cho đối thủ cạnh tranh.
"Bằng cách thu thập một cách có hệ thống các liên kết cuộc họp, danh sách người tham gia và thông tin doanh nghiệp từ 2,2 triệu người dùng, DarkSpectre đã tạo ra một cơ sở dữ liệu có thể hỗ trợ các hoạt động mạo danh quy mô lớn - cung cấp cho kẻ tấn công thông tin đăng nhập để tham gia các cuộc gọi bí mật, danh sách người tham gia để biết ai là người cần mạo danh và bối cảnh để làm cho những hành vi mạo danh đó trở nên thuyết phục”, báo cáo từ Koi Security cho biết.
Vì nhiều tiện ích mở rộng này hoạt động vô hại trong thời gian dài, người dùng nên xem xét kỹ các quyền mà tiện ích yêu cầu và giới hạn số lượng quyền ở mức tối thiểu cần thiết.
Koi Security đã báo cáo các tiện ích mở rộng gây hại, nhưng nhiều tiện ích vẫn còn tồn tại trên Chrome Web Store. Các nhà nghiên cứu đã công bố danh sách đầy đủ các tiện ích mở rộng DarkSpectre đang hoạt động.
