Kínai kapcsolat és szervezett támadások
A Zoom Stealer csak egy a három hasonló kampány közül, amely hét év alatt összesen 7,8 millió felhasználót érintett, és mind ugyanahhoz a fenyegetési csoporthoz, a DarkSpectre-hez köthető. A támadók kínai kötődése nem is kérdés: Alibaba Cloud-szervereket, kínai regisztrációkat, a kódban használt kínai karaktereket, valamint Kína időzónájához igazodó aktivitást figyeltek meg, és az adatok értékesítését is főként kínai e-kereskedelmi platformokra célozták.
Menőnek látszó, veszélyes bővítmények
A bővítmények között volt például a Chrome Audio Capture, 800 000 letöltéssel, valamint a Twitter X Video Downloader – mindkettő elérhető még most is a Chrome Web Store-ban. Látszólag hasznosak, a funkcióik működnek, de valójában hozzáférnek többek között a Zoom, a Microsoft Teams, a Google Meet és a Cisco Webex platformjaihoz is. Ezek a bővítmények képesek voltak lementeni a megbeszélések linkjeit, azonosítókat, a résztvevők nevét, fotóit, céges logókat, sőt, az előadók életrajzát is, majd mindezt azonnal a támadókhoz továbbították.
Vállalati kémkedés – az online megbeszéléseid áruba bocsátva
A megszerzett adatok nemcsak vállalati kémkedésre alkalmasak: könnyedén lehet belőlük üzleti intelligenciát kinyerni, vagy akár átveréses támadásokat szervezni. Ráadásul a bővítmények gyakran hónapokig ártalmatlannak tűntek, mielőtt elkezdtek adatokat lopni. Ezért csak a legszükségesebb bővítményeket szabad használni, és minden engedélyt alaposan ellenőrizni kell. Több gyanús bővítmény még most is elérhető; a szakértők nyilvánosságra hozták a teljes listát.
