Derrière des extensions de navigateur utiles et bien notées, une opération de longue haleine a aspiré des millions de données liées à des réunions professionnelles.
Les chercheurs de Koi Security viennent de documenter une nouvelle campagne d’espionnage, baptisée Zoom Stealer, qui exploite des extensions de navigateur bien notées pour surveiller les réunions en ligne. Au cœur de l’opération, une petite vingtaine de modules Chrome, Edge et Firefox très populaires et parfaitement fonctionnels, chargés de transformer chaque webinaire ou visio en source de renseignement sur les entreprises qui les organisent.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Des extensions bien notées qui espionnent les réunions en ligne
Dans le détail, Zoom Stealer désigne un ensemble de 18 extensions publiées sur les stores de Chrome, Edge et Firefox, installées au fil des années sur environ 2,2 millions de navigateurs. Fait notable, ces modules ne sont pas des copies frauduleuses ou des outils dysfonctionnels. Ils font exactement ce pour quoi ils ont été installés, à savoir capturer le son d’un onglet, télécharger des vidéos, aider à gérer les réunions ou à automatiser certaines actions, ce qui explique leur popularité et leur longévité.
Toutes ces extensions partagent cependant un même profil de permissions très larges, réclamant un accès étendu à pas moins de 28 services de visioconférence, parmi lesquels Zoom, Microsoft Teams ou encore Google Meet.
Une fois ces droits accordés, elles injectent des scripts sur les pages d’inscription aux webinaires, les interfaces de réunion et les tableaux de bord de ces services, pour ensuite extraire ce qui peut servir à reconstituer le contexte et les accès : liens de réunion, identifiants et mots de passe intégrés aux URL, sujets, descriptions et horaires, statut d’inscription. Les pages de présentation des intervenants sont également exploitées pour capter noms, fonctions, biographies, photos de profil et informations sur l’entreprise, ainsi que les logos et visuels associés aux sessions.
Ces données sont envoyées en continu vers une infrastructure contrôlée par les acteurs malveillants, via des connexions persistantes établies par les extensions. La transmission s’enclenche au moment précis où l’utilisateur ou l’utilisatrice interagit avec une page de réunion, ce qui limite le volume et fond ce flux dans le trafic web habituel.
Un terreau idéal pour l’ingénierie sociale
Pris un à un, les éléments collectés peuvent paraître peu sensibles, les liens de réunion, le nom des intervenants, le logo des entreprises ou l’intitulé de webinaires étant parfois même publics. Mais à l’échelle de 2,2 millions de navigateurs, ces fragments forment une base structurée qui décrit les habitudes de réunion d’un grand nombre d’organisations, leurs sujets récurrents, leurs interlocuteurs et les accès concrets à ces échanges, ce qui peut conduire à l’écoute discrète de réunions internes, à des campagnes de phishing très ciblées, à des usurpations d’identité en visioconférence et à du ciblage commercial agressif.
D’après les analyses de Koi, la campagne Zoom Stealer serait attribuée à un acteur suivi sous le nom de DarkSpectre, également lié à des opérations antérieures comme ShadyPanda et GhostPoster. Dans le premier cas, le groupe misait sur une centaine d’extensions de productivité a priori légitimes, ayant rendu le service attendu pendant des années avant qu’une mise à jour n’active des fonctions de surveillance de masse et de fraude à l’affiliation sur près de 5,6 millions de navigateurs. Dans le second, il s’appuyait sur du code dissimulé dans des icônes PNG, déclenché après un certain délai et chez une partie des victimes seulement, afin de rendre la détection beaucoup plus difficile.
Par conséquent, et comme toujours, limitez au strict nécessaire le nombre d’extensions installées sur les postes de travail, désinstallez celles dont l’origine est floue ou qui réclament un accès large aux outils de visioconférence et de collaboration, et vérifiez régulièrement la liste des modules autorisés dans l’entreprise, au même niveau que les mots de passe, les droits d’accès et les logiciels installés.
Source : Koi Security
