תוספים זדוניים מרגלים אחרי ארגונים בישראל

Experis Cyber פרסמה דו"ח והזהירה את לקוחותיה מפני קמפיין סייבר חדש ומדאיג בשם Zoom Stealer הפוגע בכ-2.2 מיליון משתמשים בדפדפנים Chrome, Firefox ו-Microsoft Edge באמצעות 18 תוספי דפדפן שנראים לגיטימיים אך פועלים לאיסוף מידע רגיש מפגישות אונליין.

לפי הדו"ח Zoom Stealer,הוא רק שכבה אחת במערך תקיפה רחב ומתמשך של גורם תקיפה המכונה DarkSpectre אשר פועל כבר שבע שנים והצליח עד כה לחדור לכ-7.8 מיליון משתמשים דרך סדרות של תוספים זדוניים. פעילות זו מיוחסת לגורם סיני, על בסיס שרתי אחסון ב- Alibaba Cloud רישומי ICP ממוקדי סין, קוד עם הערות בסינית, התאמה לשעון סין ומודלים כלכליים המכוונים לשוק הסיני.

קדמו לקמפיין הנוכחי מתקפות נוספות של אותו גורם, בהן GhostPoster בדפדפן Firefox ו- ShadyPanda שהחדיר תוכנות ריגול ל- Chromeול-Edge. על פי הדו"ח, קמפיין ShadyPanda עדיין פעיל וכולל תשעה תוספים פעילים לצד 85 תוספים "רדומים" שנראים תמימים, אך צפויים להפוך לזדוניים לאחר שיצברו מספר גבוה של משתמשים.

מרבית התוספים פועלים במסווה של כלים שימושיים ואמינים, וחלקם אף זמינים כיום להורדה בחנויות הרשמיות של הדפדפנים. בין היתר מצוינים תוספים כמו Chrome Audio Capture עם כ-800 אלף ו-Twitter X Video Downloader. בפועל, כל 18 התוספים מבקשים הרשאות גישה ל-28 פלטפורמות שיחות ווידאו, בהן Zoom, Teams, Google Meet ו-WebEX ומסוגלים לאסוף מידע עמוק ומפורט על פגישות ארגוניות.

המידע שנאסף כולל קישורי פגישה וסיסמאות מוטמעות, מצב רישום לפגישה, שמות מגישים, תפקידים, כותרות, תמונות פרופיל, לוגואים של חברות, תיאורי אירועים ומועדי שידור. לפי הדו"ח, הנתונים זולגים בזמן אמת דרך WebSocket וברגע שמשתמש נרשם לוובינר, לוחץ על לינק לפגישה או מצטרף לשיחת Zoom או Teamsהמידע מתחיל להישלח ישירות לתוקפים.

מטרת הקמפיין על פי Experis Cyber היא ריגול תאגידי, איסוף מודיעין עסקי ומכירת גישה למידע רגיש למתחרים, לרבות שימוש במידע לצורכי התחזות, חדירה לפגישות חשאיות ובניית מתקפות הנדסה חברתית שמרגישות אמינות ומדויקות במיוחד. בסיס הנתונים שנצבר מאפשר לתוקפים לדעת מי משתתף בכל פגישה, מה תפקידו ומה הנושא הנדון, ולהציג עצמם כאנשי חברה לגיטימיים בקנה מידה רחב.

רבים מהתוספים עדיין זמינים ופעילים ולכן מומחי Experis Cyber ממליצים שלא לאפשר התקנה אוטומטית של תוספי דפדפן, לבצע בדיקה יזומה של כל התוספים המותקנים ולהסיר תוספים שאינם מוכרים או שאינם הכרחיים לפעילות השוטפת.

רומן מלכוב, מנהל ה-SOC ב-Experis Cyber מסר: "אנחנו רואים כאן שינוי חד באופי האיום. זה כבר לא קובץ חשוד או לינק מוזר, אלא תוספים שנראים לגיטימיים, זמינים בחנויות רשמיות, ומשתלבים עמוק בתוך כלי העבודה היומיומיים של ארגונים. המשמעות היא שכל פגישת הנהלה, שיחת מכרז או וובינר מקצועי עלולים להפוך למקור מודיעין חי עבור גורם עוין - מבלי שאף אחד בארגון ירגיש שמשהו חריג קורה..

עוד הוסיף מלכוב כי "כאשר תוקף יודע בזמן אמת מי משתתף בפגישה, מה תפקידו ומה הנושא הנדון, הוא יכול לייצר התחזות ומתקפות חברתיות ברמת דיוק שמערערת את תחושת הביטחון הבסיסית של ארגונים. זו נורת אזהרה ברורה לכך שניהול תוספי דפדפן והרשאות הפך לנושא אבטחה קריטי, לא עניין טכני שולי."