Pesquisadores identificaram uma campanha que usa 18 extensões de navegador para coletar informações de reuniões online (URLs, IDs, tópicos, descrições e senhas embutidas). Os autores da investigação denominaram a operação “Zoom Stealer” e estimam que 2,2 milhões de usuários do Chrome, Firefox e Microsoft Edge foram afetados.
Descoberta e comportamento observado
De acordo com a cobertura técnica disponível, a campanha se apoia em 18 extensões publicadas nas lojas de extensões dos navegadores mais usados. As extensões coletam dados relacionados a reuniões — incluindo URLs e credenciais embutidas — e exfiltram essas informações para servidores controlados pelos operadores.
Evidências e mecanismos de coleta
- Escopo estimado: ~2,2 milhões de usuários afetados, segundo os pesquisadores que batizaram a campanha.
- Plataformas impactadas: extensões distribuídas para Chrome, Firefox e Microsoft Edge.
- Tipos de dados coletados: URLs de reunião, IDs, tópicos e descrições das reuniões, além de senhas incorporadas nas páginas ou nos links.
Vetor e persistência
As extensões atuam com permissões capazes de acessar conteúdo de páginas e capturar campos relacionados a reuniões online. A exfiltração foi atribuída ao envio desses dados para backends controlados pelos operadores. Não há, na cobertura disponível, indicação de que as extensões exploraram vulnerabilidades zero‑day em navegadores — o mecanismo central é o abuso de permissões concedidas pelos usuários ao instalar add‑ons maliciosos.
Impacto para empresas e usuários
Do ponto de vista corporativo, a coleta massiva de links e senhas de reuniões representa um risco direto à confidencialidade de sessões de trabalho e à integridade de coordenações internas. Links e credenciais vazados podem facilitar infiltração em reuniões, espionagem de conteúdo e exposição de documentos compartilhados.
Mitigações imediatas recomendadas
- Auditar extensões instaladas em estações de trabalho corporativas e remover add‑ons não autorizados;
- Reforçar políticas de instalação de extensões via MDM/Políticas de grupo para ambientes gerenciados;
- Rotacionar links e senhas de reuniões afetadas e garantir que reuniões críticas exijam autenticação adicional;
- Monitorar tráfego de saída para detectar exfiltração suspeita para domínios recém‑registrados ou não reconhecidos;
- Comunicar usuários sobre o risco de conceder permissões amplas a extensões e adotar listas de permissões (whitelisting) em ambientes corporativos.
O que ainda não está claro
Faltam detalhes públicos sobre autorias, infraestrutura completa dos operadores e se as lojas de extensões já removeram todas as 18 extensões citadas. Também não há, até o momento, evidência pública de integração direta com campanhas de distribuição por malware de alto nível (por exemplo, malvertising em larga escala), embora a escala estimada (2,2M) indique alcance significativo.
Relevância estratégica
A campanha demonstra que controles de segurança em endpoints e políticas de governança de extensões continuam sendo vetores críticos para proteção de reuniões online — um ativo de alto valor para empresas que migraram fluxos de trabalho para videoconferência. Equipes de segurança de empresas devem tratar a descoberta como um alerta para revisitar controles de instalação e permissões de extensões.