Desde hace algunos años, las aplicaciones para realizar videoconferencia o establecer reuniones virtuales, se han extendido como la espuma. De ahí que muchos actores maliciosos intenten aprovecharse de estas soluciones para acceder a nuestros equipos sin nuestro permiso.
Tanto es así que en estos instantes se acaba de detectar una nueva campaña que se centra precisamente en estas aplicaciones que os mencionamos. En concreto, el ataque como tal se aprovecha de las extensiones de navegador que utilizamos con los principales programas de este sector en concreto. Debemos tener en consideración que la campaña maliciosa se encarga de recopilar una buena cantidad de información personal y corporativa, tal y como os vamos a contar a continuación.
Antes de nada diremos que a esta campaña recientemente descubierta se la ha denominado Zoom Stealer y está afectando a 2,2 millones de usuarios de Chrome, Firefox y Edge. Todo ello a través de un total de 18 extensiones que recopilan datos relacionados con nuestras reuniones online y videoconferencia. Y no solo eso, ya que al mismo tiempo es importante que tengamos en consideración que no todas las extensiones de la mencionada campaña, Zoom Stealer, están relacionadas de forma directa con reuniones virtuales.
También las hay que los usuarios utilizan habitualmente para descargar vídeos de Internet o como asistentes de grabación de contenidos. Además, hablamos de títulos muy conocidos e instalados como sucede con Chrome Audio Capture o Twitter X Video Downloader. Es más, ambas siguen disponibles en la Chrome Web Store en estos instantes.
Los propios investigadores de seguridad que han dado a conocer esta campaña, señalan que estas extensiones afectadas funcionan como prometen, es decir, según lo anunciado en su descripción. Al mismo tiempo solicitan acceso a 28 plataformas de videoconferencia, algunas tan conocidas y utilizadas a nivel global como Zoom, Microsoft Teams, Google Meet, y más.
Datos que recopilan las extensiones maliciosas de Zoom Stealer
Quizá lo peor de toda esta campaña es la enorme cantidad de datos e información privada de los usuarios que recopilan sin que nos demos cuenta. A continuación mostramos un listado de lo más representativo.
- Direcciones web e identificadores de las reuniones.
- Contraseñas usadas en el acceso a las reuniones.
- Estado de la inscripción, temas y horarios programados.
- Nombres, títulos, biografías y fotos de perfil de todos los participantes.
- Logotipos, gráficos y metadatos de las empresas.
Debemos saber que estos datos se extraen mediante conexiones WebSocket y se transmiten a los actores maliciosos en tiempo real. Al mismo tiempo, todo ello se activa cuando las víctimas visitan las páginas de registro de la reunión, se unen a las mismas, o navegan por plataformas de videoconferencias.
Estos datos pueden utilizarse para espionaje corporativo o para el robo de datos de usuarios finales. Tal y como nos informan, mediante la recopilación de enlaces de reuniones virtuales, listas de participantes, e información personal de los participantes, los atacantes podrían crear una base de datos para impulsar operaciones de suplantación de identidad a gran escala y robo de datos privados.
| Nombre de la Extensión | Instalaciones Activas (Aprox.) | Navegador/Tienda |
|---|---|---|
| Chrome Audio Capture | 800,000+ | Chrome Web Store |
| Twitter X Video Downloader | 450,000+ | Chrome Web Store |
| Meeting Recorder Pro | 320,000+ | Firefox Add-ons |
| Screen Recorder for Google Chrome | 250,000+ | Chrome Web Store |
| WebEx Meeting Enhancer | 120,000+ | Chrome Web Store |
Dado que muchas de estas extensiones funcionan de forma correcta y actúan maliciosamente en segundo plano, se recomienda revisar cuidadosamente los permisos que requieren y limitarlos al mínimo imprescindible.
A pesar de que se han reportado, muchas de estas extensiones siguen presentes en Chrome Web Store. Aquí podemos encontrar la lista completa de las que están activas en estos momentos.
