Peneliti keamanan menemukan kampanye baru bernama Zoom Stealer yang menargetkan pengguna Chrome, Firefox, dan Microsoft Edge melalui 18 ekstensi browser berbahaya. Kampanye ini telah memengaruhi 2,2 juta pengguna dan mengumpulkan data sensitif terkait rapat daring, termasuk URL, ID meeting, topik, deskripsi, hingga kata sandi yang tertanam.
Zoom Stealer merupakan salah satu dari tiga kampanye ekstensi berbahaya yang selama tujuh tahun terakhir menjangkau lebih dari 7,8 juta pengguna, dan seluruhnya dikaitkan dengan satu aktor ancaman bernama DarkSpectre.
Kaitan dengan Aktor Ancaman Tiongkok
Berdasarkan infrastruktur yang digunakan, DarkSpectre diyakini merupakan aktor ancaman yang sama di balik kampanye GhostPoster (menargetkan Firefox) dan ShadyPanda (menyebarkan spyware ke pengguna Chrome dan Edge).
Peneliti dari Koi Security menemukan bukti kuat yang mengaitkan DarkSpectre dengan Tiongkok, termasuk:
- Server yang dihosting di Alibaba Cloud
- Registrasi ICP Tiongkok
- Artefak kode berisi komentar berbahasa Mandarin
- Pola aktivitas sesuai zona waktu Tiongkok
- Target monetisasi yang selaras dengan ekosistem e‑commerce Tiongkok
ShadyPanda sendiri masih aktif melalui 9 ekstensi dan 85 ekstensi “tidur” yang tampak normal hingga suatu saat berubah menjadi berbahaya melalui pembaruan.
Ekstensi yang Tampak Normal, Tapi Mengumpulkan Intelijen Rapat
Dari 18 ekstensi Zoom Stealer, tidak semuanya terkait rapat. Beberapa di antaranya adalah ekstensi populer seperti:
- Chrome Audio Capture (800.000 instalasi)
- Twitter X Video Downloader
Keduanya masih tersedia di Chrome Web Store saat laporan ini diterbitkan.
Meski berfungsi sesuai deskripsi, ekstensi‑ekstensi ini meminta akses ke 28 platform konferensi video, termasuk Zoom, Microsoft Teams, Google Meet, dan Cisco WebEx. Data yang dikumpulkan meliputi:
- URL dan ID meeting, termasuk password tertanam
- Status registrasi, topik, dan jadwal rapat
- Nama pembicara dan host, jabatan, biografi, foto profil
- Logo perusahaan, grafik, dan metadata sesi
Data tersebut dikirim secara real‑time melalui koneksi WebSocket ketika pengguna:
- membuka halaman registrasi webinar
- bergabung ke rapat
- menjelajahi platform konferensi
Risiko Serius: Spionase Korporasi & Serangan Social Engineering
Menurut Koi Security, data ini dapat digunakan untuk:
- spionase korporasi
- intelijen penjualan
- serangan impersonasi berskala besar
- menjual tautan rapat rahasia kepada kompetitor
DarkSpectre pada dasarnya membangun basis data besar berisi:
- tautan rapat rahasia
- daftar peserta
- konteks rapat untuk mempermudah penyamaran
Hal ini memungkinkan penyerang masuk ke rapat sensitif dan menyamar sebagai peserta sah.
Banyak Ekstensi Masih Aktif
Koi Security telah melaporkan ekstensi berbahaya tersebut, namun banyak yang masih tersedia di Chrome Web Store. Mereka juga merilis daftar lengkap ekstensi aktif yang terkait DarkSpectre.
Pengguna disarankan untuk:
- meninjau ulang izin yang diminta ekstensi
- menghapus ekstensi yang tidak diperlukan
- berhati‑hati terhadap ekstensi yang meminta akses ke data rapat
Sumber: Koi Security