کمیته رکن چهارم – بررسیها نشان میدهد برخی افزونههای مرورگر که سالها بدون مشکل فعالیت میکردند، اکنون به ابزاری برای جمعآوری اطلاعات حساس جلسات آنلاین و اجرای حملات هدفمند بدل شدهاند.
به گزارش کمیته رکن چهارم، پژوهشگران امنیتی از شناسایی یک کارزار جاسوسی گسترده به نام «Zoom Stealer» خبر دادهاند که با استفاده از دستکم ۱۸ افزونه مرورگر در مرورگرهای کروم، فایرفاکس و مایکروسافت اج، اطلاعات جلسات آنلاین شرکتها را جمعآوری میکند. این کارزار تاکنون بیش از ۲.۲ میلیون کاربر را تحت تأثیر قرار داده است.
افزونههای مورداستفاده در این عملیات، دادههایی از جمله لینکهای جلسه، شناسه، موضوع، رمز عبور، مشخصات شرکتکنندگان، عنوان و تصویر پروفایل میزبانان را استخراج میکنند و از طریق ارتباطهای بلادرنگ، اطلاعات را به سرورهای مهاجمان منتقل میسازند.
این کمپین بخشی از یک عملیات گستردهتر به نام DarkSpectre است که شامل دو کمپین دیگر نیز میشود: GhostPoster و ShadyPanda که در مجموع بیش از ۷.۸ میلیون کاربر را هدف قرار دادهاند. شواهد فنی از جمله استفاده از سرورهای Alibaba Cloud، کدنویسی به زبان چینی و الگوی زمانی اجرای عملیات، این حملات را به یک عامل تهدید وابسته به چین نسبت میدهد.
برخی از افزونههای دخیل در این کمپین در ظاهر ابزارهایی کاربردی برای ضبط صدا یا دانلود ویدئو هستند؛ از جمله Chrome Audio Capture و Twitter X Video Downloader که هر دو همچنان در فروشگاه وب کروم در دسترس هستند. این افزونهها بهظاهر عملکرد وعدهدادهشده را ارائه میدهند اما همزمان به اطلاعات ۲۸ پلتفرم کنفرانس ویدئویی دسترسی پیدا میکنند.
اطلاعات استخراجشده میتواند برای جاسوسی صنعتی، تحلیل رقابتی، حملات مهندسی اجتماعی و حتی فروش لینک جلسات به رقبا مورد استفاده قرار گیرد. پژوهشگران هشدار دادهاند که مهاجمان با تکیه بر اطلاعات جمعآوریشده، میتوانند هویت شرکتکنندگان را جعل کرده و به جلسات محرمانه دسترسی یابند.
شرکت Koi Security تأکید کرده است که افزونههای زیادی همچنان فعال هستند و بسیاری از آنها بهگونهای طراحی شدهاند که تنها پس از مدتی فعالیت بیخطر، با بهروزرسانی به بدافزار تبدیل میشوند. این افزونهها بهصورت سیستماتیک اطلاعات سازمانی را جمعآوری کرده و میتوانند برای ساخت پایگاه دادهای دقیق از شرکتها و ساختار جلساتشان مورد استفاده قرار گیرند.
کارشناسان امنیتی توصیه میکنند کاربران افزونههای نصبشده را بررسی کرده، مجوزهای آنها را محدود و تنها ابزارهای ضروری را فعال نگه دارند. برخی از افزونههای آلوده هنوز در فروشگاههای رسمی باقی ماندهاند و ممکن است توسط میلیونها کاربر دیگر نصب شوند.
