惡意擴充功能威脅概覽與規模

研究人員發現了一種名為「Zoom Stealer」的新攻擊活動，該活動透過 18 個擴充功能影響 220 萬 Chrome、Firefox 和 Microsoft Edge 用戶，這些擴充功能收集與線上會議相關的數據，例如 URL、ID、主題、描述和嵌入式密碼。這場活動的規模之大與受影響人數之多，揭示了現代企業環境中瀏覽器擴充功能已成為最脆弱的資安防線之一。攻擊者並非單純鎖定特定產業，而是透過廣泛散布具有實用功能（如影片下載、音訊擷取）的合法工具作為掩護，將間諜代碼植入其中，達成長期監控與數據收割的目的。

威脅行為者溯源與技術特徵歸因

根據所使用的基礎設施，DarkSpectre 被認為是與先前記錄在案的GhostPoster（針對 Firefox 用戶）和ShadyPanda（向Chrome和Edge用戶投放間諜軟體有效載荷）背後的中國關聯威脅行為者。雖然之前就存在與中國的聯繫，但現在基於阿里雲上的託管伺服器、ICP 備案、包含中文字符串和註釋的代碼工件、與中國時區相符的活動模式以及針對中國電子商務的盈利目標，歸因更加清晰。這種高度組織化的攻擊模式顯示出國家級或大型犯罪集團的運作特質，不僅擁有穩定的伺服器架構，更具備長期潛伏與維護惡意代碼的能力，確保在被安全軟體偵測前已完成大規模數據對接。

偽裝機制與傳播管道分析

Zoom Stealer 活動中的 18 款擴充功能並非全部與會議相關，其中一些還可以用於下載影片或作為錄製輔助工具，例如安裝80萬的 Chrome Audio Capture 和 Twitter X Video Downloader。截至發稿時，這兩款擴充功能仍可在Chrome線上應用程式商店下載。這種「功能完整」且「高下載量」的特徵，極大地降低了用戶的戒心。Koi Security 的研究人員指出，這些擴充功能齊全，並且能夠以宣傳的方式運作。這意味著惡意行為者可能透過收購原本合法的擴充功能，或在更新中悄悄加入惡意程式碼（Supply Chain Attack），利用既有的用戶信任基礎進行攻擊轉型。

會議平台滲透與數據收割機制

研究人員表示，Zoom Stealer 活動中的所有擴充功能都會要求存取28個視訊會議平台（例如 Zoom、Microsoft Teams、Google Meet和Cisco WebEx），並收集以下數據：

1. 會議網址和ID，包括嵌入式密碼
2. 註冊狀態、主題和預定時間
3. 演講者和主持人的姓名、職稱、簡介和個人照片
4. 公司標誌、圖形和會話元數據

這些資料透過 WebSocket 連線被竊取，並即時傳輸給攻擊者。當受害者造訪網路研討會註冊頁面、加入會議或瀏覽會議平台時，就會觸發此活動。這種監控機制不侷限於特定瀏覽器，只要擴充功能具備存取網頁 DOM（文件物件模型）的權限，便能將頁面上呈現的所有機密資訊即時過濾並回傳至遠端控制伺服器。

企業情報庫構建與二階段攻擊風險

Koi Security的報告指出：「DarkSpectre透過系統地收集220萬用戶的會議連結、參與者清單和企業情報，創建了一個資料庫，該資料庫可以支援大規模的身份冒充行動——為攻擊者提供加入機密通話的憑證、了解要冒充誰的參與者清單以及使這些冒充行為更具說服力的背景資訊。」這類數據的價值在於其「脈絡性」。當攻擊者掌握了會議主題、主持人職稱及歷史元數據後，便可發起精準的商務電子郵件詐騙（BEC）或深度偽造（Deepfake）攻擊。例如，攻擊者可能利用竊得的憑證潛入進行中的高階財務會議，或冒充執行長發送帶有精確背景資訊的指示，使企業面臨重大的財務與商業機密損失。

瀏覽器生態系防禦困境與緩解策略

此案例凸顯了主流瀏覽器應用商店在審查長期運行擴充功能上的挑戰。由於許多此類擴充功能在很長一段時間內都無害地運行，使用者應仔細審查擴充功能所需的權限，並將其數量限制在必要的最低限度。企業端的管理政策應更為嚴謹，建議採取以下深度防禦措施： 第一，實施瀏覽器擴充功能白名單制度，僅允許安裝經過內部資安稽核的工具，並停用具備過度權限（如讀取所有造訪網站數據）的第三方套件。 第二，強化會議安全設定，強制要求所有會議啟用動態等候室與雙重驗證，避免僅憑 URL 和嵌入式密碼即可進入。 第三，部署端點偵測與回應（EDR）系統，監控異常的 WebSocket 連線與非授權的數據傳輸行為，特別是針對雲端服務與未知伺服器的流量往來。

總結與未來展望

Zoom Stealer 活動標誌著針對性攻擊（Targeted Attacks）已進入自動化與規模化的新階段。威脅行為者不再逐一破解個別系統，而是透過操控日常使用的瀏覽器輔助工具，將數百萬用戶變成其情報來源。對於台灣的政府機關與企業單位而言，理解這類「隱形」威脅並建立動態的擴充功能審查流程，是維護數位資產安全、防範企業情報外洩的關鍵環節。唯有從權限管理、流量監測及人員教育三管齊下，方能有效應對日益複雜的供應鏈與擴充功能威脅。

註：
Zoom Stealer 是三個瀏覽器擴充功能活動之一，這些活動在七年內影響了超過 780 萬用戶，並且都歸因於一個名為 DarkSpectre 的單一威脅行為者。

資料來源：https://www.bleepingcomputer.com/news/security/zoom-stealer-browser-extensions-harvest-corporate-meeting-intelligence/