Zoom Stealer: Yeni Bir Tehdit
Son dönemde keşfedilen Zoom Stealer kampanyası, 2.2 milyon Chrome, Firefox ve Microsoft Edge kullanıcısını etkilemektedir. Bu kampanya, çevrimiçi toplantılarla ilgili URL’ler, kimlikler, konular, tanımlar ve gömülü şifreler gibi verileri toplayan 18 tarayıcı eklentisi ile yürütülüyor. DarkSpectre olarak bilinen tek bir tehdit aktörüne atfedilen bu kampanya, son yedi yılda 7.8 milyon kullanıcının yanı sıra iki diğer kampanyayla birlikte aktif olmuştur.
DarkSpectre ve Bağlantıları
DarkSpectre’nin, daha önce GhostPoster ve ShadyPanda olarak bilinen kampanyalarla bağlantılı olduğu düşünülmektedir. Bu kampanyalar, sırasıyla Firefox ve Chrome ile Edge kullanıcılarını hedef almıştır. Yapılan araştırmalar, DarkSpectre’nin İkinci Dünya Savaşı sonrası yükselişe geçen Çin bağlantılı bir tehdit aktörü olduğunu göstermekte; bu bağlantılar, Alibaba Cloud üzerindeki sunucular ve Çince dilinde kod yorumları gibi unsurlarla pekiştirilmektedir.
Toplantı Verileri Toplayan Eklentiler
Zoom Stealer kampanyasındaki 18 eklentinin hepsi toplantı ile ilgili değildir; bazıları video indirme veya kayıt yardımcısı olarak işlev göstermektedir. Chrome Audio Capture gibi eklentiler, 800,000 kurulumla hala Chrome Web Store’da yer almakta. Bu eklentiler, 28 farklı video konferans platformuna erişim talep etmekte ve şu verileri toplamaktadır:
- Toplantı URL’leri ve kimlikleri, gömülü şifreler
- Kayıt durumu, konular ve programlı zamanlar
- Konuşmacı ve ev sahibi isimleri, unvanları, biyografileri ve profil fotoğrafları
- Şirket logoları, grafikler ve oturum meta verileri
Bu veriler, WebSocket bağlantıları aracılığıyla gerçek zamanlı olarak tehdit aktörlerine aktarılarak, kurumsal casusluk ve satış zekası amacıyla kullanılabilir.
Tehditlerin Ciddiyeti
Koi Security tarafından yapılan araştırmalara göre, toplanan veriler kurumsal casusluk ve sosyal mühendislik saldırıları için kullanılabilir. DarkSpectre’nin sistematik olarak toplantı bağlantılarını, katılımcı listelerini ve kurumsal bilgileri toplaması, büyük ölçekli sahtecilik operasyonları için gerekli veritabanını oluşturmasına olanak tanımaktadır. Bu durum, özel çağrılara katılmak için gerekli kimlik bilgilerine ulaşmak, kimin taklit edileceğini belirlemek için katılımcı listeleri edinmek ve etkili bir taklit için gerekli bağlamı sağlamak anlamına gelmektedir.
Kullanıcıların Dikkatli Olması Gereken Noktalar
Birçok eklentinin uzun süre masum bir şekilde çalışması, kullanıcıların dikkatini dağıtabilir. Kullanıcıların, eklentileri indirmeden önce taleplerini dikkatlice gözden geçirmeleri ve yalnızca gerekli olanları kullanmaları önemlidir. Koi Security, şüpheli eklentileri rapor etmiştir, ancak hala birçok eklenti Chrome Web Store’da mevcuttur.
Sonuç olarak, çevrimiçi toplantılarınızın ve verilerinizin güvenliğini sağlamak için gerekli önlemleri almak, hem bireyler hem de şirketler için son derece önemlidir.
