### Campaña “Zoom Stealer”: 2,2 millones de usuarios de Chrome, Firefox y Edge afectados por robo masivo de datos de reuniones online
#### Introducción
En las últimas semanas, la comunidad de ciberseguridad ha detectado una campaña masiva de robo de información bautizada como “Zoom Stealer”, que pone en jaque la privacidad y confidencialidad de millones de usuarios de navegadores web. El ataque, dirigido principalmente a usuarios de Google Chrome, Mozilla Firefox y Microsoft Edge, explota 18 extensiones maliciosas con el objetivo de recopilar datos sensibles relacionados con reuniones virtuales. Este artículo examina en profundidad la naturaleza de la amenaza, los vectores de ataque, los indicadores de compromiso y las implicaciones para el sector empresarial y los profesionales de la seguridad.
#### Contexto del Incidente
La campaña “Zoom Stealer” ha sido identificada durante el segundo trimestre de 2024 por varios equipos de threat intelligence y laboratorios de análisis de malware. Según los informes, al menos 2,2 millones de usuarios se han visto afectados por la instalación de extensiones aparentemente legítimas en sus navegadores. Estas extensiones, disponibles tanto en los mercados oficiales como a través de webs de terceros, prometen funcionalidades adicionales para la gestión de reuniones y colaboración online.
La investigación señala que los atacantes han centrado sus esfuerzos en plataformas de videoconferencia ampliamente utilizadas, como Zoom, Microsoft Teams y Google Meet, aprovechándose del aumento sostenido en el uso de estas herramientas en entornos corporativos tras la consolidación del trabajo híbrido y remoto.
#### Detalles Técnicos
Las 18 extensiones identificadas en esta campaña comparten un patrón de comportamiento: tras su instalación, monitorizan la actividad del usuario en páginas web relacionadas con reuniones online y extraen información como URLs de acceso, identificadores de reunión, temas, descripciones y, en los casos más críticos, contraseñas incrustadas en los enlaces de invitación.
**CVE y vectores de ataque:**
Aunque hasta el momento no se ha asignado un CVE específico a la vulnerabilidad explotada por estas extensiones, el vector principal radica en el abuso de los permisos otorgados por el usuario al instalar la extensión. Estos permisos permiten acceso a los datos de navegación y manipulación de contenido en páginas específicas de reuniones.
**TTPs y MITRE ATT&CK:**
– **T1056 (Input Capture):** Las extensiones interceptan datos ingresados en formularios de creación o acceso a reuniones.
– **T1086 (PowerShell):** Algunas variantes detectadas descargan scripts adicionales para exfiltrar la información.
– **T1113 (Screen Capture):** Se han observado intentos de capturar capturas de pantalla del navegador cuando se visualizan datos de reuniones.
**Indicadores de Compromiso (IoC):**
– Hashes de las extensiones maliciosas
– Dominios de C2 utilizados para la exfiltración de datos
– URLs de descarga de las extensiones fuera de los marketplaces oficiales
Los investigadores han detectado, además, que algunos grupos de amenazas utilizan frameworks como Metasploit para el desarrollo y prueba de payloads personalizados, lo que indica un grado de sofisticación elevado.
#### Impacto y Riesgos
El impacto de “Zoom Stealer” es severo, tanto para usuarios particulares como para organizaciones. El robo de URLs y credenciales de acceso a reuniones puede facilitar ataques de ingeniería social, secuestro de sesiones y acceso no autorizado a información confidencial. En el contexto empresarial, esto puede traducirse en filtraciones de información estratégica, violaciones de la confidencialidad y potenciales incumplimientos normativos (por ejemplo, GDPR o la Directiva NIS2).
Estudios recientes calculan que, de media, el coste de una filtración de datos de este tipo puede superar los 100.000 euros por incidente en el ámbito europeo, sin considerar posibles sanciones regulatorias adicionales.
#### Medidas de Mitigación y Recomendaciones
Para mitigar el riesgo asociado a esta campaña, los equipos de seguridad deben:
– Auditar y restringir extensiones instaladas en los navegadores corporativos mediante políticas GPO o soluciones MDM.
– Utilizar listas blancas de extensiones verificadas.
– Realizar análisis forense en sistemas con extensiones sospechosas (revisión de logs, análisis de tráfico de red, búsqueda de IoC publicados por los investigadores).
– Formar y sensibilizar a los usuarios sobre los riesgos asociados a la instalación de extensiones fuera de los canales oficiales.
– Aplicar segmentación de red y MFA para acceso a plataformas de reuniones.
#### Opinión de Expertos
Para Carlos López, analista sénior de amenazas en un SOC europeo, “este tipo de campañas demuestra que la superficie de ataque en entornos corporativos va mucho más allá de los endpoints tradicionales. Las extensiones de navegador se han convertido en un vector privilegiado para los actores de amenazas, especialmente cuando el usuario final es el eslabón débil”.
Asimismo, María González, consultora de cumplimiento normativo, advierte: “Las empresas que no gestionen de forma proactiva estos riesgos pueden exponerse a sanciones significativas bajo el RGPD y la NIS2, especialmente si se produce una fuga de información sensible”.
#### Implicaciones para Empresas y Usuarios
Las organizaciones deben considerar la gestión de extensiones de navegador como un componente esencial de su estrategia de ciberseguridad. Los departamentos de TI y seguridad deben establecer procedimientos de revisión y aprobación de complementos, además de monitorizar continuamente la actividad en los navegadores corporativos.
Para los usuarios, la recomendación es clara: evitar instalar extensiones no verificadas y revisar periódicamente los permisos concedidos a las ya instaladas.
#### Conclusiones
La campaña “Zoom Stealer” subraya la importancia de proteger no solo los sistemas y redes, sino también los componentes aparentemente inocuos como las extensiones de navegador. Solo a través de una combinación de controles técnicos, formación y vigilancia continua podrán las organizaciones mitigar el riesgo que suponen estas amenazas en constante evolución.
(Fuente: www.bleepingcomputer.com)