Operación masiva de malware: el nuevo ‘Zoom Stealer’ roba datos de videollamadas

Una campaña masiva de malware basada en extensiones de navegadores ha expuesto información sensible de videollamadas corporativas durante años.

Un conjunto de extensiones maliciosas, identificadas como Zoom Stealer, ha comprometido a más de 2,2 millones de usuarios de Chrome, Edge y Firefox. La operación forma parte de una infraestructura de espionaje digital activa desde hace más de siete años, atribuida a un actor avanzado conocido como DarkSpectre, y centrada en la recopilación sistemática de inteligencia empresarial a través del navegador.

Los investigadores de seguridad han identificado al menos 18 extensiones de navegador que, bajo la apariencia de herramientas legítimas, recolectaban datos sensibles relacionados con reuniones online. Estas extensiones estaban disponibles en tiendas oficiales y funcionaban correctamente, lo que permitió su adopción masiva sin levantar sospechas.

Zoom Stealer es la tercera y más reciente fase de una operación más amplia, junto con las campañas ShadyPanda y GhostPoster, todas interconectadas y operadas por el mismo actor.

Datos presuntamente expuestos

Según el análisis técnico, las extensiones recopilaban los siguientes datos de los navegadores:

• URLs e identificadores de reuniones, incluidas contraseñas incrustadas.
• Títulos, descripciones, horarios y estado de registro de sesiones.
• Nombres, cargos, biografías y fotos de anfitriones y ponentes.
• Logotipos corporativos y recursos gráficos de las organizaciones.
• Metadatos completos de webinars y videollamadas.

La información se obtenía de más de 28 plataformas de videoconferencia, entre ellas Zoom, Microsoft Teams, Google Meet y Cisco WebEx.

Actor y atribución

La campaña ha sido atribuida al, previamente mencionado, grupo DarkSpectre, un actor de amenazas de origen chino activo desde al menos 2018. Su modus operandi se basa en:

• Publicar extensiones funcionales y legítimas.
• Acumular instalaciones y valoraciones positivas durante largos periodos.
• Activar el comportamiento malicioso mediante actualizaciones o configuraciones remotas.

Esta atribución se apoya en múltiples evidencias técnicas, como: el uso de infraestructura en Alibaba Cloud, registros ICP chinos, artefactos de código con comentarios en chino y patrones horarios alineados con China.

Alcance

El alcance de esta operación es realmente masivo, mayor si combinamos el efecto de las 3 campañas:

• Más de 8,8 millones de usuarios afectados en total por las tres campañas.
• Zoom Stealer habría comprometido al menos 2,2 millones de dispositivos.
• Algunas extensiones superaban las 800.000 instalaciones individuales.
• Varias extensiones seguían disponibles en tiendas oficiales en el momento de la detección.

¿Qué hacer para protegerse?

Para usuarios particulares

• Revisar y eliminar extensiones innecesarias.
• Verificar permisos antes y después de cada instalación.
• Desconfiar de extensiones con acceso amplio a todos los sitios.
• Evitar enlaces de reuniones públicas o reutilizadas.
• Cambiar enlaces y contraseñas de reuniones sensibles.

Para empresas y administradores

• Aplicar políticas de bloqueo o lista blanca de extensiones.
• Auditar navegadores corporativos de forma periódica.
• Centralizar la gestión del entorno de navegador.
• Concienciar sobre el riesgo de extensiones “útiles”.
• Tratar el navegador como un vector crítico de ataque.

Más información:

• Fuentes: blog.tecnetone.com y escudodigital.com.