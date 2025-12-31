Gli esperti di Koi Security hanno individuato un nuovo malware, denominato Zoom Stealer, in 18 estensioni per Chrome, Edge e Firefox che permette di raccogliere numerosi dati aziendali durante le videoconferenze effettuate con noti servizi (da cui il nome). Viene utilizzato dai cybercriminali cinesi del gruppo DarkSpectre, autori degli attacchi con altri simili malware.

Oltre 2,2 milioni di vittime

Il gruppo Dark Spectre è responsabile degli attacchi contro oltre 8,8 milioni di utenti effettuati per oltre sette anni. Con le prime due campagne sono stati distribuiti i malware ShadyPanda e GhostPoster. Con la terza sono stati infettati i dispositivi di oltre 2,2 milioni di utenti attraverso 18 estensioni (15 per Chrome, due per Firefox e una per Edge).

Gli esperti di Koi Security hanno trovato diverse prove nel codice delle estensioni che dimostrano la connessione tra le campagne malware, tra cui i domini usati dai cybercriminali per ricevere i dati rubati. ShadyPanda e GhostPoster sono stati sfruttati per attività di spionaggio, backdoor e guadagni illeciti tramite affiliazioni. Zoom Stealer permette invece di raccogliere informazioni aziendali.

Le estensioni, alcune delle quali ancora presenti sui siti ufficiali, offrono realmente le funzionalità pubblicizzate, come il download dei video o la registrazione audio. In realtà sono veri e propri tool di sorveglianza. Possono accedere ad oltre 28 piattaforme per videoconferenze, tra cui Zoom, Microsoft Teams, Google Meet, Cisco WebEx e GoToWebinar.

Zoom Stealer può rubare URL, ID e password dei meeting, pianificazione, descrizione e stato della registrazione, nome, titolo, biografia e foto del profilo dei partecipanti, informazioni sull’azienda. I dati vengono esfiltrati in tempo reale con una connessione WebSocket.

Le informazioni possono essere vendute ai concorrenti oppure sfruttate per successivi attacchi (ad esempio phishing). Nonostante le segnalazioni, alcune estensioni sono ancora disponibili. Gli utenti devono immediatamente rimuoverle da Chrome, Edge e Firefox.