Vous avez sûrement déjà utilisé des extensions de navigateur pour améliorer votre expérience de navigation ou pour faciliter l’organisation de vos réunions en ligne. Mais avez-vous déjà pensé aux informations que vous partagez involontairement en utilisant ces outils apparemment innocents ? Dans cet article, nous dévoilons une campagne d’espionnage sophistiquée qui se cache derrière ces extensions populaires, transformant vos réunions virtuelles en une mine d’informations pour des acteurs malveillants.
Les 3 infos à ne pas manquer
- Une campagne d’espionnage baptisée Zoom Stealer a ciblé des millions de réunions virtuelles à travers des extensions de navigateur populaires.
- Ces extensions, bien notées et fonctionnelles, ont été installées sur environ 2,2 millions de navigateurs pour capturer des données sensibles.
- Le groupe DarkSpectre est suspecté d’être à l’origine de cette opération, utilisant des techniques avancées pour collecter des informations sur les réunions.
Zoom Stealer : une campagne d’espionnage élaborée
Les chercheurs de Koi Security ont récemment découvert une vaste opération d’espionnage numérique exploitant des extensions de navigateur bien notées pour infiltrer des réunions en ligne. Cette campagne, connue sous le nom de Zoom Stealer, utilise une vingtaine de modules pour les navigateurs Chrome, Edge et Firefox. Ces extensions, loin d’être des outils frauduleux, sont conçues pour exécuter des tâches légitimes telles que la capture audio, le téléchargement de vidéos et la gestion des réunions.
Malgré leur apparence inoffensive, ces modules requièrent des permissions étendues, leur permettant d’accéder à 28 services de visioconférence, dont Zoom, Microsoft Teams et Google Meet. En injectant des scripts dans les interfaces de ces services, les extensions peuvent extraire des informations sensibles telles que les liens de réunion, les identifiants et mots de passe, les sujets et les horaires des sessions.
Les risques posés par des données apparemment anodines
À première vue, les informations collectées par Zoom Stealer peuvent sembler peu compromettantes. Cependant, à grande échelle, ces fragments de données forment une base qui permet de cartographier les habitudes de réunion de nombreuses organisations. Les conséquences peuvent être graves : écoute discrète de réunions, campagnes de phishing ciblées, usurpations d’identité et ciblage commercial. La collecte de ces données s’effectue de manière discrète, grâce à des connexions persistantes établies par les extensions.
DarkSpectre : l’acteur derrière la menace
Selon Koi Security, la campagne Zoom Stealer serait orchestrée par un acteur malveillant nommé DarkSpectre. Ce groupe est déjà connu pour des attaques antérieures, telles que ShadyPanda et GhostPoster. Dans ces opérations, DarkSpectre a utilisé des extensions de productivité apparemment légitimes, auxquelles des fonctions de surveillance ont été ajoutées au fil du temps. Ces attaques démontrent la capacité de DarkSpectre à déployer des techniques avancées pour collecter des informations sensibles à grande échelle.
Conseils pour protéger vos réunions
Pour se prémunir contre ce type de menace, il est conseillé de limiter le nombre d’extensions installées sur les postes de travail, en désinstallant celles dont l’origine est incertaine ou qui exigent un accès étendu aux outils de visioconférence. Vérifiez régulièrement la liste des modules autorisés dans votre entreprise, tout comme vous le feriez pour les mots de passe et les droits d’accès.
Le groupe DarkSpectre : un historique inquiétant
DarkSpectre est un groupe de cybercriminels bien connu dans le milieu de la sécurité informatique pour ses opérations de surveillance numérique. En utilisant des techniques sophistiquées, DarkSpectre a mené plusieurs campagnes d’espionnage, ciblant des millions d’utilisateurs à travers le monde. Leur capacité à dissimuler des fonctions malveillantes dans des extensions populaires montre une évolution constante de leurs méthodes, rendant la détection et la prévention des attaques d’autant plus difficiles pour les professionnels de la cybersécurité.
