 |
| Ảnh minh họa. UC-Today |
Zoom Stealer sử dụng 18 tiện ích mở rộng độc hại, được thiết kế để âm thầm thu thập dữ liệu nhạy cảm liên quan đến các cuộc họp trực tuyến. Thông tin bị đánh cắp bao gồm đường link cuộc họp, ID phòng họp, chủ đề, mô tả, thậm chí cả mật khẩu được nhúng trong link mời.
Đáng chú ý, Zoom Stealer là một trong ba chiến dịch tiện ích mở rộng độc hại hoạt động trong thời gian dài, được cho là do cùng một nhóm tấn công đứng sau, được giới nghiên cứu theo dõi với tên gọi DarkSpectre.
Trong vòng 7 năm qua, các chiến dịch này đã tiếp cận tổng cộng hơn 7,8 triệu người dùng. DarkSpectre bị nghi có liên hệ với nhóm GhostPoster và ShadyPanda, chuyên phát tán phần mềm gián điệp thông qua trình duyệt web.
Theo nhóm nghiên cứu tại hãng nghiên cứu - giám sát an ninh mạng Koi Security, các tiện ích độc hại trong chiến dịch Zoom Stealer được ngụy trang rất tinh vi: phần mềm hoạt động đúng với chức năng được mô tả, khiến người dùng khó phát hiện dấu hiệu bất thường và vượt qua được khâu kiểm duyệt ban đầu.
Một số tiện ích phổ biến thậm chí vẫn đang được phân phối trên các kho tiện ích chính thức của trình duyệt, như Chrome Web Store, trong đó có Chrome Audio Capture (khoảng 800.000 lượt cài đặt) và Twitter X Video Downloader.
Sau khi được cài đặt, những tiện ích này yêu cầu quyền truy cập vào ít nhất 28 nền tảng hội nghị trực tuyến, bao gồm Zoom, Microsoft Teams, Google Meet và Cisco WebEx. Từ đó, phần mềm độc hại bí mật thu thập thông tin chi tiết về cuộc họp và người tham gia theo thời gian thực, rồi gửi dữ liệu về máy chủ do tin tặc kiểm soát thông qua các kết nối WebSocket.
Giới chuyên gia cảnh báo, lượng dữ liệu bị đánh cắp có thể bị lợi dụng cho gián điệp doanh nghiệp, thu thập thông tin kinh doanh, hoặc phục vụ các chiến dịch lừa đảo, mạo danh tinh vi. Kẻ tấn công có thể giả danh người tham gia cuộc họp, xâm nhập và thu thập thông tin trong các cuộc trao đổi nội bộ, hoặc rao bán link họp cho đối thủ cạnh tranh.
Mặc dù các tiện ích độc hại đã được báo cáo tới các nhà cung cấp trình duyệt, một số vẫn chưa bị gỡ bỏ, cho thấy rủi ro đối với người dùng vẫn còn hiện hữu. Các chuyên gia khuyến nghị người dùng cần kiểm tra kỹ quyền truy cập của tiện ích mở rộng, gỡ bỏ những tiện ích không cần thiết và chỉ cài đặt extension từ các nguồn thực sự đáng tin cậy.
An Lâm (Theo Abijita)
Bình luận