קמפיין "Zoom Stealer": תוספי דפדפן זדוניים מרגלים אחרי פגישות עסקיות

חוקרי אבטחה גילו רשת של 18 תוספים לדפדפני Chrome, Firefox ו-Edge, שהותקנו אצל למעלה מ-2.2 מיליון משתמשים, במטרה לאסוף מידע רגיש על פגישות וידאו ושימוש עסקי.

מהו "Zoom Stealer"?

מדובר בקמפיין ריגול תעשייתי המיוחס לקבוצת תקיפה סינית המכונה DarkSpectre. הקבוצה משתמשת בתוספים שנראים תמימים לחלוטין (כמו מורידי וידאו מטוויטר או לוכדי אודיו), אך מאחורי הקלעים הם אוספים נתונים על פגישות ב-28 פלטפורמות שונות, ביניהן Zoom, Microsoft Teams, Google Meet ו-Cisco WebEx.

איזה מידע נגנב?

התוספים עוקבים אחרי המשתמש בזמן אמת ושולחים לתוקפים:

1. קישורים (URLs) ומזהי פגישות (IDs), כולל סיסמאות המוטמעות בקישור.
2. נושאי הפגישות, תיאורים ולוחות זמנים.
3. פרטי משתתפים: שמות, תארים, ביוגרפיות ותמונות פרופיל.
4. מידע ארגוני: לוגואים של חברות ומטא-נתונים של הפגישה.

התוסף הישן

החוקרים מציינים כי התוספים אכן מספקים את הפונקציונליות שהם מבטיחים (למשל, הם באמת מקליטים אודיו). התוקפים משתמשים בשיטת "התוספים הישנים" (Sleepers), הם מעלים תוסף תמים לחנות, בונים בסיס משתמשים גדול במשך חודשים או שנים, ורק אז שולחים עדכון שמוסיף את הקוד הזדוני.

הסכנות המרכזיות

• ריגול תעשייתי: התוקפים יכולים להצטרף לפגישות חסויות מבלי שהמארח ירגיש, או למכור את הגישה למתחרים.
• הנדסה חברתית: המידע על המשתתפים משמש ליצירת התקפות פישינג ממוקדות ואמינות במיוחד (Impersonation).
• גניבת קניין רוחני: האזנה לשיחות פיתוח או אסטרטגיה עסקית.

מה אפשר לעשות?

למרות הדיווח, חלק מהתוספים עדיין זמינים ב-Chrome Web Store.

• בדקו את התוספים שלכם: התוספים המזוהים ביותר הם Chrome Audio Capture (עם 800 אלף התקנות) ו-Twitter X Video Downloader.
• צמצמו הרשאות: מומלץ להסיר כל תוסף שאינו הכרחי ולבדוק אילו הרשאות הוא מבקש (האם תוסף להורדת וידאו באמת צריך גישה ל-Zoom?).

תוספים בולטים שזוהו כזדוניים

על סמך הדו"ח של חברת Koi Security ופרסומים טכניים מהיממה האחרונה, להלן רשימת התוספים המרכזיים שזוהו כחלק מקמפיין Zoom Stealer (ותת-הקמפיינים שלו ShadyPanda ו-RedDirection).

שימו לב: חלק מהתוספים הללו היו פעילים ו"לגיטימיים" במשך שנים לפני שהפכו לזדוניים באמצעות עדכון גרסה.

1. Chrome Audio Capture (כ-800,000 התקנות): תוסף פופולרי מאוד להקלטת אודיו מהדפדפן.
2. Twitter X Video Downloader: כלי להורדת סרטונים מרשת X.
3. Volume Max – Ultimate Sound Booster: תוסף להגברת עוצמת השמע בדפדפן.
4. Color Picker, Eyedropper – Geco colorpick: כלי למעצבים לבחירת צבעים מאתרים.
5. Video Speed Controller – Video manager: מאפשר לשנות מהירות צפייה בסרטונים.
6. Emoji Keyboard Online: מקלדת אימוג'י נגישה.
7. Dark Theme – Dark Reader (גרסאות מזויפות של התוסף המקורי): הופך אתרים למצב כהה.
8. Unlock Discord – VPN Proxy: שירות VPN ייעודי לדיסקורד.
9. Unblock TikTok: שירות מעקף לצפייה בטיקטוק.
10. Unlock YouTube VPN: שירות מעקף ליוטיוב.

תוספים נוספים הממוקדים בכלי AI (מאותה קבוצת תקיפה)

בימים האחרונים זוהו תוספים נוספים של אותה קבוצה (DarkSpectre) שגונבים שיחות מ-ChatGPT ו-DeepSeek:

• Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI (כ-600,000 התקנות).
• AI Sidebar with Deepseek, ChatGPT, Claude, and more (כ-300,000 התקנות).