Onderzoekers hebben verschillende malafide browser-extensies voor Google Chrome, Microsoft Edge en Mozilla Firefox ontdekt die data van online meetings stelen, die bijvoorbeeld via Zoom, Microsoft Teams en Cisco WebEx plaatsvinden. Dat laat securitybedrijf Koi Security weten. De in totaal achttien extensies zijn volgens de onderzoekers bij elkaar meer dan 2,2 miljoen keer gedownload.

De extensies doen zich voor als productiviteitstools, zoals videodownloaders, meeting timers en recording assistants. Daarbij bieden deze extensies ook de beloofde functionaliteit. Een van deze extensies, Chrome Audio Capture, telt meer dan 800.000 downloads. De extensies vragen toegang tot meer dan 28 videovergaderplatforms. Zodra gebruikers aan een videovergadering deelnemen worden meeting URL met embedded wachtwoorden, meeting ID's, onderwerpen, omschrijving, tijd en registratiestatus verzameld en naar de aanvallers verstuurd.

"De extensies scrapen systematisch professionele informatie van webinar speakers en hosts - namen, functieomschrijving, bio's, profielfoto's en bedrijfsrelaties", aldus de onderzoekers. "Voor elk geregistreerd webinar maken de extensies een professioneel dossier van de sprekers aan. Naast deze personen verzamelen ze bedrijfslogo's, graphics en session timing - waarbij wordt bijgehouden of registraties succesvol of niet succesvol zijn."

Het meest verontrustende aspect van de extensies is volgens de onderzoekers niet alleen het verzamelen van de data, maar hoe het wordt teruggestuurd. Dit vindt plaats via een websocket-verbinding voor live streaming. Zo worden de meeting-activiteiten in real-time gestreamd. "Het moment dat je aan een meeting deelneemt, een registratiepagina opent, of naar een videovergaderplatform gaat, gaat die data meteen naar de server van de aanvaller." Volgens de onderzoekers kan de verzamelde informatie voor bedrijfsspionage, 'sales intelligence' en social engineering worden gebruikt.