Thought Leadership
Eine umfangreiche Angriffskampagne kompromittiert derzeit Browser-Erweiterungen und späht gezielt Informationen aus Online-Meetings aus.
Sicherheitsforscher von Koi Security haben 18 schadhaft Erweiterungen identifiziert, die unter dem Namen “Zoom Stealer” zusammengefasst werden. Insgesamt sind 2,2 Millionen Anwender von Chrome, Firefox und Microsoft Edge betroffen.
Die Extensions greifen verschiedene Daten ab: Meeting-URLs, Zugangs-IDs, Themen und Beschreibungen von Besprechungen sowie in Links eingebettete Passwörter. Die Forscher ordnen Zoom Stealer einer größeren Angriffsserie zu, die drei verschiedene Kampagnen umfasst und über einen Zeitraum von sieben Jahren insgesamt 7,8 Millionen Nutzer erreichte.
Verbindung zu bekannten Kampagnen
Hinter allen drei Kampagnen vermuten die Sicherheitsexperten einen einzigen Akteur namens DarkSpectre. Dieser soll auch für die bereits dokumentierten Angriffswellen GhostPoster und ShadyPanda verantwortlich sein. GhostPoster zielte auf Firefox-Anwender ab, während ShadyPanda Spyware an Chrome- und Edge-Nutzer verteilte.
ShadyPanda ist weiterhin aktiv und nutzt derzeit 9 Erweiterungen. Zusätzlich haben die Angreifer 85 sogenannte Schläfer-Extensions platziert. Diese bauen zunächst eine Nutzerbasis auf, bevor sie über Updates mit Schadfunktionen ausgestattet werden.
Indizien deuten auf China
Die technische Infrastruktur und verschiedene Merkmale legen eine Verbindung zu China nahe. Die Server befinden sich auf Alibaba Cloud, es existieren ICP-Registrierungen, und im Programmcode finden sich chinesischsprachige Zeichenketten sowie Kommentare. Auch die Aktivitätsmuster passen zur chinesischen Zeitzone, und die Monetarisierung ist auf den chinesischen E-Commerce-Markt ausgerichtet.
Getarnt als nützliche Tools
Die schadhaften Erweiterungen präsentieren sich nicht ausschließlich als Meeting-Tools. Beispiele sind “Chrome Audio Capture” mit 800.000 Installationen und “Twitter X Video Downloader”. Beide waren zum Zeitpunkt der Analyse noch im Chrome Web Store verfügbar.
Nach Angaben der Forscher funktionieren sämtliche Erweiterungen wie angekündigt, was die Entdeckung der versteckten Schadfunktionen erschwert.
Umfang der Datensammlung
Die Extensions fordern Zugriff auf 28 unterschiedliche Videokonferenz-Dienste an, darunter Zoom, Microsoft Teams, Google Meet und Cisco WebEx. Erfasst werden dabei Meeting-URLs mit eingebetteten Passwörtern, IDs, Registrierungsstatus, Themen und Zeitpläne sowie Namen, Funktionsbezeichnungen, Biografien und Profilbilder von Referenten und Moderatoren. Auch Firmenlogos, Grafiken und Metadaten zu den Sitzungen werden abgegriffen.
Die Datenübertragung erfolgt über WebSocket-Verbindungen in Echtzeit an die Angreifer. Ausgelöst wird dies, wenn Betroffene Registrierungsseiten für Webinare aufrufen, an Meetings teilnehmen oder Konferenzplattformen nutzen.
Risiko für Unternehmen
Koi Security sieht Einsatzmöglichkeiten der gesammelten Daten im Bereich Wirtschaftsspionage und Vertriebsinformationen. Denkbar seien Social-Engineering-Attacken oder der Verkauf von Meeting-Zugängen an Wettbewerber.
Die Forscher warnen, dass durch die systematische Erfassung über 2,2 Millionen Nutzer hinweg eine Datenbasis entstanden sei, die umfangreiche Täuschungsoperationen ermögliche. Angreifer könnten sich damit Zugang zu vertraulichen Gesprächen verschaffen, Teilnehmer identifizieren und diese überzeugend imitieren.
Gegenmaßnahmen
Da zahlreiche Extensions über längere Zeit unauffällig blieben, raten die Experten zu genauer Prüfung angeforderter Berechtigungen. Nutzer sollten nur notwendige Erweiterungen installieren und deren Anzahl minimieren.
Koi Security hat die problematischen Extensions gemeldet, viele sind jedoch weiterhin in den offiziellen Stores erhältlich.
