31.12.2025
1 хв
441
Дослідники виявили масштабну кампанію під назвою Zoom Stealer, у межах якої шкідливі браузерні розширення збирали конфіденційні дані онлайн-зустрічей понад 2,2 мільйона користувачів Chrome, Firefox і Microsoft Edge. Кампанія пов’язана з кіберзагрозовим актором DarkSpectre і становить серйозний ризик для корпоративної безпеки та комерційної таємниці.
За даними дослідження компанії Koi Security, Zoom Stealer охоплює щонайменше 18 браузерних розширень, які збирають інформацію про онлайн-зустрічі, включно з URL-адресами, ідентифікаторами конференцій, вбудованими паролями, темами, описами та часом проведення сесій.
Розширення запитують доступ одразу до 28 платформ відеоконференцій, серед яких Zoom, Microsoft Teams, Google Meet і Cisco WebEx. Зібрані дані передаються зловмисникам у режимі реального часу через WebSocket-з’єднання, коли користувачі реєструються на вебінари, заходять у конференції або просто переглядають сторінки сервісів.
Важливо, що більшість розширень є повністю функціональними та працюють так, як описано в магазинах додатків. Це дозволило їм роками залишатися непоміченими та накопичувати велику базу корпоративної інформації.
Zoom Stealer є частиною ширшої екосистеми шкідливих кампаній, які протягом семи років охопили понад 7,8 мільйона користувачів. Аналітики пов’язують DarkSpectre з іншими відомими кампаніями, зокрема GhostPoster і ShadyPanda, які раніше використовували подібні техніки збору даних.
Атрибуція до Китаю підтверджується низкою технічних ознак: використанням інфраструктури Alibaba Cloud, ICP-реєстраціями, фрагментами коду з китайськими коментарями, часовими патернами активності та орієнтацією монетизації на китайську e-commerce-екосистему.
Зібрана інформація може використовуватися для корпоративного шпигунства, соціальної інженерії, фішингу або навіть продажу доступу до закритих зустрічей конкурентам.
Кампанія Zoom Stealer демонструє, наскільки небезпечними можуть бути браузерні розширення, що виглядають легітимними. Навіть корисні інструменти для запису чи завантаження відео можуть приховано виконувати функції стеження, перетворюючи браузер на інструмент корпоративної розвідки.
