Probabilmente avete già utilizzato estensioni del browser per migliorare la vostra esperienza di navigazione o per facilitare l’organizzazione delle vostre riunioni online. Ma avete mai pensato alle informazioni che condividete involontariamente utilizzando questi strumenti apparentemente innocui? In questo articolo, sveliamo una campagna di spionaggio sofisticata che si nasconde dietro queste estensioni popolari, trasformando le vostre riunioni virtuali in una miniera di informazioni per attori malintenzionati.
Le 3 informazioni da non perdere
- Una campagna di spionaggio chiamata Zoom Stealer ha preso di mira milioni di riunioni virtuali attraverso estensioni di browser popolari.
- Queste estensioni, ben valutate e funzionali, sono state installate su circa 2,2 milioni di browser per catturare dati sensibili.
- Il gruppo DarkSpectre è sospettato di essere all’origine di questa operazione, utilizzando tecniche avanzate per raccogliere informazioni sulle riunioni.
Zoom Stealer: una campagna di spionaggio elaborata
I ricercatori di Koi Security hanno recentemente scoperto una vasta operazione di spionaggio digitale che sfrutta estensioni di browser ben valutate per infiltrarsi nelle riunioni online. Questa campagna, conosciuta come Zoom Stealer, utilizza una ventina di moduli per i browser Chrome, Edge e Firefox. Queste estensioni, lontane dall’essere strumenti fraudolenti, sono progettate per eseguire compiti legittimi come la cattura audio, il download di video e la gestione delle riunioni.
Nonostante il loro aspetto innocuo, questi moduli richiedono permessi estesi, permettendo loro di accedere a 28 servizi di videoconferenza, tra cui Zoom, Microsoft Teams e Google Meet. Iniettando script nelle interfacce di questi servizi, le estensioni possono estrarre informazioni sensibili come i link delle riunioni, gli identificativi e le password, gli argomenti e gli orari delle sessioni.
I rischi posti da dati apparentemente innocui
A prima vista, le informazioni raccolte da Zoom Stealer possono sembrare poco compromettenti. Tuttavia, su larga scala, questi frammenti di dati formano una base che permette di mappare le abitudini di riunione di molte organizzazioni. Le conseguenze possono essere gravi: ascolto discreto delle riunioni, campagne di phishing mirate, furti d’identità e targeting commerciale. La raccolta di questi dati avviene in modo discreto, grazie a connessioni persistenti stabilite dalle estensioni.
DarkSpectre: l’attore dietro la minaccia
Secondo Koi Security, la campagna Zoom Stealer sarebbe orchestrata da un attore malintenzionato chiamato DarkSpectre. Questo gruppo è già noto per attacchi precedenti, come ShadyPanda e GhostPoster. In queste operazioni, DarkSpectre ha utilizzato estensioni di produttività apparentemente legittime, alle quali sono state aggiunte funzioni di sorveglianza nel tempo. Questi attacchi dimostrano la capacità di DarkSpectre di impiegare tecniche avanzate per raccogliere informazioni sensibili su larga scala.
Consigli per proteggere le vostre riunioni
Per proteggersi da questo tipo di minaccia, si consiglia di limitare il numero di estensioni installate sui posti di lavoro, disinstallando quelle di cui l’origine è incerta o che richiedono un accesso esteso agli strumenti di videoconferenza. Controllate regolarmente l’elenco dei moduli autorizzati nella vostra azienda, proprio come fareste per le password e i diritti di accesso.
Il gruppo DarkSpectre: uno storico preoccupante
DarkSpectre è un gruppo di cybercriminali ben noto nel campo della sicurezza informatica per le sue operazioni di sorveglianza digitale. Utilizzando tecniche sofisticate, DarkSpectre ha condotto diverse campagne di spionaggio, prendendo di mira milioni di utenti in tutto il mondo. La loro capacità di nascondere funzioni maligne in estensioni popolari mostra un’evoluzione costante dei loro metodi, rendendo la rilevazione e la prevenzione degli attacchi ancora più difficili per i professionisti della cybersicurezza.
