研究者がZoom Stealerと呼ぶ新たに発見されたキャンペーンにより、URL、ID、トピック、説明、埋め込みパスワードなどのオンライン会議関連データを収集する18個の拡張機能を通じて、Chrome、Firefox、Microsoft Edgeのユーザー220万人が影響を受けています。
Zoom Stealerは、7年間で780万人以上のユーザーに到達した3つのブラウザ拡張機能キャンペーンのうちの1つで、DarkSpectreとして追跡されている単一の脅威アクターによるものとされています。
使用されたインフラに基づき、DarkSpectreは、Firefoxユーザーを標的にした、以前に文書化されたGhostPoster、およびChromeとEdgeユーザーにスパイウェアのペイロードを配布したShadyPandaの背後にいる、中国と関係のある同一の脅威アクターである可能性が高いとみられています。
Koi Security(サプライチェーンセキュリティ企業)の研究者によると、ShadyPandaは9つの拡張機能と、更新によって悪性化する前にユーザーベースを構築する追加の85個の「スリーパー」を通じて、依然として活動を続けています。
出典: Koi Security
中国とのつながりは以前から存在していましたが、Alibaba Cloud上のホスティングサーバー、ICP登録、中国語の文字列やコメントを含むコードの痕跡、中国のタイムゾーンに一致する活動パターン、中国のECに合わせて調整された収益化の標的設定に基づき、帰属は現在より明確になっています。
企業会議インテリジェンス
Zoom Stealerキャンペーンの18個の拡張機能はすべてが会議関連というわけではなく、動画のダウンロードや録音アシスタントとして利用できるものもあります。たとえば、インストール数80万のChrome Audio Captureや、Twitter X Video Downloaderです。いずれも公開時点でChrome Web Storeで入手可能です。
Koi Securityの研究者は、これらの拡張機能はいずれも機能し、謳い文句どおりに動作すると指摘しています。
出典: Koi Security
研究者によると、Zoom Stealerキャンペーンのすべての拡張機能は、28のビデオ会議プラットフォーム(例: Zoom、Microsoft Teams、Google Meet、Cisco WebEx)へのアクセスを要求し、次のデータを収集します:
- 埋め込みパスワードを含む会議URLとID
- 登録状況、トピック、予定時刻
- 登壇者およびホストの氏名、肩書き、略歴、プロフィール写真
- 企業ロゴ、グラフィック、セッションのメタデータ
これらのデータはWebSocket接続を介して流出させられ、リアルタイムで脅威アクターにストリーミングされます。この活動は、被害者がウェビナー登録ページを訪問したり、会議に参加したり、会議プラットフォーム内を移動したりした際にトリガーされます。
Koi Securityによれば、これらのデータは企業スパイ活動や営業インテリジェンスに利用され得て、ソーシャルエンジニアリング攻撃に使われたり、会議リンクを競合他社に販売することさえ可能になり得ます。
「220万人のユーザーにわたり会議リンク、参加者リスト、企業インテリジェンスを体系的に収集することで、DarkSpectreは大規模ななりすまし作戦を支え得るデータベースを作り上げました。攻撃者に機密通話へ参加するための資格情報、誰になりすますべきかを把握するための参加者リスト、そしてそのなりすましを説得力あるものにするための文脈を提供します」と、Koi Securityのレポートは指摘しています。
これらの拡張機能の多くは長期間にわたり無害に動作していたため、ユーザーは拡張機能が要求する権限を慎重に見直し、その数を必要最小限に抑えるべきです。
Koi Securityは問題の拡張機能を報告しましたが、多くは依然としてChrome Web Storeに残っています。研究者は、アクティブなDarkSpectre拡張機能の完全なリストを公開しました。
BleepingComputerはInfinityNewTabとGoogleにコメントを求めており、回答が得られ次第、記事を更新します。
