Desmillones de reuniones en riesgo: La alarma por las extensiones maliciosas de Zoom
¿Qué es Zoom Stealer?
Zoom Stealer es el nombre de un conjunto de 18 extensiones que han sido publicadas en las tiendas de Google Chrome, Microsoft Edge y Firefox. Estas extensiones han logrado instalarse en aproximadamente 2,2 millones de navegadores a lo largo de los años y, a primera vista, no parecen ser más que herramientas comunes y útiles. Sin embargo, su funcionalidad real va mucho más allá de lo que indica su descripción en las tiendas.
Funcionalidad de las extensiones fraudulentas
Estas herramientas están diseñadas para realizar tareas que son, en teoría, legítimas: capturar audio de una pestaña, descargar vídeos, gestionar reuniones y automatizar ciertas acciones. Esta funcionalidad explicaría su popularidad y longevidad en la web. Pero, ¿qué hay detrás de esta fachada?
Extensos permisos y acceso a datos
Todas las extensiones de Zoom Stealer tienen un perfil de permisos muy amplio, que solicita acceso a 28 servicios de videoconferencia diferentes, incluyendo Zoom, Microsoft Teams y Google Meet. Una vez que los usuarios otorgan estos permisos, las extensiones comienzan a inyectar scripts en diversas páginas:
- Inscripciones a webinars
- Interfaces de reuniones
- Tableros de control de los servicios
A través de esta inyección de scripts, las extensiones pueden recoger una amplia gama de datos, tales como enlaces de reunión, identificadores, contraseñas, temas, descripciones y horarios.
Robando información clave
El alcance de la información que estas extensiones pueden robar es alarmante. Las páginas de presentación de los oradores son igualmente vulnerables, permitiendo la captura de:
- Nombres y cargos
- Biografías
- Fotos de perfil
- Información empresarial
- Logos y material visual asociado a las sesiones
Estos datos son esenciales no solo para la logística de las reuniones, sino también para fines malintencionados.
Envío de datos y persistencia de la conexión
Una vez que se recopila la información, es enviada continuamente a una infraestructura controlada por los atacantes. Este proceso utiliza conexiones persistentes establecidas por las extensiones, lo cual permite una transmisión constante de datos valiosos. La transmisión se activa en el momento en que el usuario interactúa con una página de reunión, lo que oculta el tráfico malicioso en el flujo habitual de datos de internet.
¿Cómo protegerse?
La situación es preocupante, pero hay medidas que los usuarios pueden tomar para protegerse:
- Revisar permisos de extensiones: Antes de instalar cualquier extensión, asegúrate de verificar los permisos que solicita.
- Desinstalar extensiones desconocidas: Es recomendable eliminar cualquier extensión que no reconozcas o que parezca sospechosa.
- Mantener el software actualizado: Mantén siempre tu navegador y tus extensiones actualizadas con las últimas versiones.
La vigilancia y la educación sobre seguridad cibernética son clave en esta era digital donde las reuniones virtuales son cada vez más comunes. ¡Cuidado con lo que instalas!
About the Author
