Sie haben sicherlich bereits Browser-Erweiterungen verwendet, um Ihr Surferlebnis zu verbessern oder um die Organisation Ihrer Online-Meetings zu erleichtern. Aber haben Sie schon einmal darüber nachgedacht, welche Informationen Sie ungewollt preisgeben, wenn Sie diese scheinbar harmlosen Tools verwenden? In diesem Artikel enthüllen wir eine ausgeklügelte Spionagekampagne, die sich hinter diesen beliebten Erweiterungen verbirgt und Ihre virtuellen Meetings in eine Fundgrube für böswillige Akteure verwandelt.
Die 3 wichtigsten Informationen
- Eine Spionagekampagne namens Zoom Stealer hat Millionen von virtuellen Meetings über beliebte Browser-Erweiterungen ins Visier genommen.
- Diese gut bewerteten und funktionalen Erweiterungen wurden auf etwa 2,2 Millionen Browsern installiert, um sensible Daten zu erfassen.
- Die Gruppe DarkSpectre wird verdächtigt, hinter dieser Operation zu stecken, indem sie fortschrittliche Techniken zur Sammlung von Informationen über Meetings einsetzt.
Zoom Stealer: eine ausgeklügelte Spionagekampagne
Forscher von Koi Security haben kürzlich eine umfangreiche digitale Spionageoperation entdeckt, die gut bewertete Browser-Erweiterungen nutzt, um in Online-Meetings einzudringen. Diese Kampagne, bekannt als Zoom Stealer, verwendet etwa zwanzig Module für die Browser Chrome, Edge und Firefox. Diese Erweiterungen, die keineswegs betrügerische Tools sind, sind darauf ausgelegt, legitime Aufgaben wie Audioaufnahmen, Video-Downloads und Meeting-Management auszuführen.
Trotz ihres harmlosen Erscheinungsbildes erfordern diese Module erweiterte Berechtigungen, die ihnen den Zugriff auf 28 Videokonferenzdienste ermöglichen, darunter Zoom, Microsoft Teams und Google Meet. Durch das Injizieren von Skripten in die Schnittstellen dieser Dienste können die Erweiterungen sensible Informationen wie Meeting-Links, IDs und Passwörter, Themen und Zeitpläne der Sitzungen extrahieren.
Die Risiken scheinbar harmloser Daten
Auf den ersten Blick mögen die von Zoom Stealer gesammelten Informationen wenig kompromittierend erscheinen. Doch in großem Maßstab bilden diese Datenfragmente eine Grundlage, die es ermöglicht, die Meeting-Gewohnheiten vieler Organisationen zu kartieren. Die Folgen können gravierend sein: unauffälliges Abhören von Meetings, gezielte Phishing-Kampagnen, Identitätsdiebstahl und kommerzielle Zielgruppenansprache. Die Sammlung dieser Daten erfolgt diskret durch persistente Verbindungen, die von den Erweiterungen hergestellt werden.
DarkSpectre: der Akteur hinter der Bedrohung
Laut Koi Security wird die Zoom Stealer-Kampagne von einem böswilligen Akteur namens DarkSpectre orchestriert. Diese Gruppe ist bereits für frühere Angriffe wie ShadyPanda und GhostPoster bekannt. In diesen Operationen hat DarkSpectre scheinbar legitime Produktivitätserweiterungen verwendet, denen im Laufe der Zeit Überwachungsfunktionen hinzugefügt wurden. Diese Angriffe zeigen die Fähigkeit von DarkSpectre, fortschrittliche Techniken zur Sammlung sensibler Informationen in großem Maßstab einzusetzen.
Tipps zum Schutz Ihrer Meetings
Um sich vor dieser Art von Bedrohung zu schützen, wird empfohlen, die Anzahl der auf den Arbeitsplätzen installierten Erweiterungen zu begrenzen, indem diejenigen deinstalliert werden, deren Herkunft unklar ist oder die erweiterten Zugriff auf Videokonferenz-Tools erfordern. Überprüfen Sie regelmäßig die Liste der in Ihrem Unternehmen zugelassenen Module, so wie Sie es auch mit Passwörtern und Zugriffsrechten tun würden.
Die Gruppe DarkSpectre: eine beunruhigende Geschichte
DarkSpectre ist eine in der IT-Sicherheitsbranche bekannte Gruppe von Cyberkriminellen für ihre digitalen Überwachungsoperationen. Mit ausgeklügelten Techniken hat DarkSpectre mehrere Spionagekampagnen durchgeführt, die sich gegen Millionen von Nutzern weltweit richten. Ihre Fähigkeit, bösartige Funktionen in beliebten Erweiterungen zu verbergen, zeigt eine ständige Weiterentwicklung ihrer Methoden, was die Erkennung und Prävention von Angriffen für Cybersicherheitsprofis umso schwieriger macht.
