Des extensions de navigateur exploitent les réunions en ligne pour un espionnage à grande échelle

Une enquête récente a révélé qu’une série d’extensions de navigateur, pourtant bien notées et largement utilisées, servaient de couverture à une campagne d’espionnage sophistiquée. Intitulée Zoom Stealer, cette opération cible les réunions professionnelles sur des plateformes populaires comme Zoom, Microsoft Teams et Google Meet, compromettant potentiellement des millions d’utilisateurs.

L’essentiel à retenir

• Zoom Stealer utilise 18 extensions de navigateur pour surveiller les réunions en ligne.
• Ces extensions sont installées sur environ 2,2 millions de navigateurs.
• Les données collectées peuvent mener à des usurpations d’identité et à du phishing ciblé.

La campagne Zoom Stealer dévoilée

Les chercheurs de Koi Security ont récemment mis en lumière une campagne d’espionnage baptisée Zoom Stealer. Celle-ci exploite des extensions de navigateur bien notées pour capturer des informations sensibles lors des réunions en ligne. Ces extensions, disponibles sur les stores de Chrome, Edge et Firefox, sont conçues pour effectuer diverses tâches telles que capturer l’audio ou gérer les réunions, ce qui explique leur popularité. Cependant, elles possèdent également des permissions étendues qui leur permettent d’accéder à un large éventail de services de visioconférence.

Fonctionnement des extensions espionnes

Une fois installées, les extensions injectent des scripts dans les pages d’inscription et d’interfaces de réunion, collectant ainsi des données telles que les liens de réunion, les identifiants, les sujets et les informations sur les intervenants. Ces informations sont ensuite transmises à une infrastructure contrôlée par les acteurs malveillants, se fondant dans le trafic web habituel pour passer inaperçues.

Conséquences potentielles pour les utilisateurs

Bien que chaque fragment de données puisse sembler anodin isolément, leur agrégation permet de constituer une base de données structurée sur les habitudes de réunion des organisations, les rendant vulnérables à des écoutes clandestines, des attaques de phishing ciblées et d’autres types de cyberattaques. Cette opération pourrait également faciliter le ciblage commercial agressif.

Les mesures de précaution recommandées

Pour réduire les risques, il est conseillé de limiter le nombre d’extensions installées sur les postes de travail et de désinstaller celles qui exigent un accès large aux outils de visioconférence. Les entreprises devraient surveiller régulièrement la liste des modules autorisés, tout comme elles le font pour les mots de passe et les logiciels installés.

DarkSpectre : l’auteur présumé

La campagne Zoom Stealer est attribuée à un acteur malveillant connu sous le nom de DarkSpectre. Ce groupe a déjà été impliqué dans des opérations similaires, telles que ShadyPanda et GhostPoster, qui utilisaient des extensions légitimes pour activer des fonctions de surveillance après une mise à jour ou un certain délai. Ces méthodes sophistiquées compliquent la détection et augmentent les risques pour les utilisateurs.