Seguramente ya has utilizado extensiones de navegador para mejorar tu experiencia de navegación o para facilitar la organización de tus reuniones en línea. Pero, ¿alguna vez has pensado en la información que compartes involuntariamente al usar estas herramientas aparentemente inocentes? En este artículo, revelamos una campaña de espionaje sofisticada que se esconde detrás de estas populares extensiones, transformando tus reuniones virtuales en una mina de información para actores malintencionados.
Las 3 informaciones que no debes perderte
- Una campaña de espionaje llamada Zoom Stealer ha apuntado a millones de reuniones virtuales a través de extensiones de navegador populares.
- Estas extensiones, bien valoradas y funcionales, han sido instaladas en aproximadamente 2,2 millones de navegadores para capturar datos sensibles.
- Se sospecha que el grupo DarkSpectre está detrás de esta operación, utilizando técnicas avanzadas para recopilar información sobre las reuniones.
Zoom Stealer: una campaña de espionaje elaborada
Los investigadores de Koi Security han descubierto recientemente una vasta operación de espionaje digital que explota extensiones de navegador bien valoradas para infiltrarse en reuniones en línea. Esta campaña, conocida como Zoom Stealer, utiliza una veintena de módulos para los navegadores Chrome, Edge y Firefox. Estas extensiones, lejos de ser herramientas fraudulentas, están diseñadas para ejecutar tareas legítimas como la captura de audio, la descarga de videos y la gestión de reuniones.
A pesar de su apariencia inofensiva, estos módulos requieren permisos extendidos, lo que les permite acceder a 28 servicios de videoconferencia, incluidos Zoom, Microsoft Teams y Google Meet. Al inyectar scripts en las interfaces de estos servicios, las extensiones pueden extraer información sensible como enlaces de reunión, identificadores y contraseñas, temas y horarios de las sesiones.
Los riesgos de datos aparentemente inofensivos
A primera vista, la información recopilada por Zoom Stealer puede parecer poco comprometedora. Sin embargo, a gran escala, estos fragmentos de datos forman una base que permite mapear los hábitos de reunión de muchas organizaciones. Las consecuencias pueden ser graves: escucha discreta de reuniones, campañas de phishing dirigidas, suplantaciones de identidad y orientación comercial. La recopilación de estos datos se realiza de manera discreta, gracias a conexiones persistentes establecidas por las extensiones.
DarkSpectre: el actor detrás de la amenaza
Según Koi Security, la campaña Zoom Stealer sería orquestada por un actor malintencionado llamado DarkSpectre. Este grupo ya es conocido por ataques anteriores, como ShadyPanda y GhostPoster. En estas operaciones, DarkSpectre ha utilizado extensiones de productividad aparentemente legítimas, a las que se han añadido funciones de vigilancia con el tiempo. Estos ataques demuestran la capacidad de DarkSpectre para desplegar técnicas avanzadas para recopilar información sensible a gran escala.
Consejos para proteger tus reuniones
Para protegerse contra este tipo de amenaza, se aconseja limitar el número de extensiones instaladas en los puestos de trabajo, desinstalando aquellas cuyo origen es incierto o que exigen un acceso extendido a las herramientas de videoconferencia. Revisa regularmente la lista de módulos autorizados en tu empresa, tal como lo harías con las contraseñas y los derechos de acceso.
El grupo DarkSpectre: un historial inquietante
DarkSpectre es un grupo de cibercriminales bien conocido en el ámbito de la seguridad informática por sus operaciones de vigilancia digital. Utilizando técnicas sofisticadas, DarkSpectre ha llevado a cabo varias campañas de espionaje, apuntando a millones de usuarios en todo el mundo. Su capacidad para ocultar funciones maliciosas en extensiones populares muestra una evolución constante de sus métodos, haciendo que la detección y prevención de ataques sea aún más difícil para los profesionales de la ciberseguridad.
