Zoom Stealer: Gefährliche Browser-Add-ons plündern Meeting-Daten

Eine neu aufgedeckte Kampagne, von Forschenden „Zoom Stealer“ getauft, missbraucht 18 Browser-Erweiterungen in Chrome, Firefox und Microsoft Edge, um Meeting-Informationen abzugreifen. Betroffen sind laut Analysen rund 2,2 Millionen Nutzerinnen und Nutzer – mit potenziell massiven Folgen für Unternehmenssicherheit, Vertraulichkeit und Compliance.

Die Erweiterungen sammeln Meeting-URLs, IDs, Themen, Beschreibungen und teilweise eingebettete Passcodes. Damit entsteht ein präzises Lagebild Deiner Kollaborations-Workflows – ein gefundenes Fressen für Social Engineering, Phishing und gezielte Datendiebstähle.

Was steckt hinter „Zoom Stealer“?

Bei der Kampagne handelt es sich nicht um eine Schwachstelle in einer bestimmten Videokonferenz-Plattform, sondern um den Missbrauch von Browser-Erweiterungen. Diese Add-ons sitzen direkt im Surf-Kontext der Mitarbeitenden und besitzen oft weitreichende Berechtigungen wie „Daten auf allen Websites lesen und ändern“. Angreifer nutzen genau dieses Modell, um Meeting-bezogene Telemetrie abzugreifen:

Welche Daten fließen ab?

• Meeting-Links und IDs – inklusive individueller oder wiederkehrender Meeting-IDs
• Betreffzeilen, Agenda/Topics und Beschreibungen (oft mit vertraulichen Details)
• Eingebettete Passcodes in Einladungs-URLs („passcode=…“)
• Teilnehmer-Informationen und Zeitstempel aus Kalendern oder Portalen

Diese „Meeting-Intelligence“ ermöglicht es Angreifern, sich unbemerkt in Calls einzuwählen, Inhalte mitzuschneiden oder präzise Spear-Phishing-Kampagnen zu bauen. Aus Meeting-Metadaten lassen sich Projektstände, Lieferketten, M&A-Aktivitäten und Verantwortlichkeiten ableiten – ein starker Hebel für Business Email Compromise (BEC) und als Vorstufe für Ransomware-Angriffe. Keywords: Browser-Security, Phishing.

Browser-Erweiterungen: Der unterschätzte Angriffsvektor

Extensions sind praktisch – und gleichzeitig ein blinder Fleck der IT-Sicherheit. Viele Unternehmen erlauben Add-ons ohne strikte Prüfung. Updates erfolgen automatisch, Publisher können wechseln, und Reviews in Web-Stores sind kein Garant für Sicherheit. Das Ergebnis: ein dauerhafter Supply-Chain-Risiko-Kanal direkt im Browser.

Wichtig: Hier geht es nicht um einen Zero-Day-Exploit einer Videokonferenz-App, sondern um die Ausnutzung legitimer Berechtigungen von Browser-Erweiterungen. Genau diese Grauzone macht das Thema tückisch: Alles wirkt „normal“, bis Daten abfließen. Keywords: Supply-Chain-Risiko, Zero-Day (Einordnung), IT-Sicherheit.

Warum das für Phishing, BEC und Ransomware relevant ist

• Hyper-personalisierte Köder: Exakte Meeting-Themen und Ansprechpartner erhöhen die Klickwahrscheinlichkeit bei Phishing signifikant.
• Direkter Zugang: Eingebettete Passcodes ermöglichen Teilnahme ohne weitere Authentifizierung – Wartezimmer und Passwörter greifen dann nicht.
• Pivot ins Netzwerk: Aus Meetings gewonnene Credentials, geteilte Links oder geteilte Dateien können als Sprungbrett in interne Systeme dienen – bis hin zu Ransomware-Verteilung.

Fallbeispiel: Wenn Meeting-Links zum Einfallstor werden

Stell Dir ein globales Sales-Team vor. Wöchentlich findet ein Pipeline-Review statt, die Einladung enthält die Meeting-URL mit eingebettetem Passcode und einen Link zu einem internen Dashboard. Eine scheinbar hilfreiche Browser-Erweiterung verspricht Kalender-Optimierung – tatsächlich exfiltriert sie Meeting-Daten in ein Command-and-Control-Backend.

Angreifer wählen sich zur richtigen Zeit in den Call ein, geben sich als Regionalleiter aus und fordern „dringend“ Zugriff auf einen neu eingerichteten Kundenzugang. Im Anschluss folgen täuschend echte E-Mails an Key Accounts mit veränderten Zahlungsanweisungen (BEC). Ein paar Tage später taucht Ransomware im Vertriebs-Share auf – initial verteilt über kompromittierte Endpunkte, die im Meeting weitere Links und Dateien geöffnet hatten. Keywords: Social Engineering, Ransomware.

So schützt Du Dein Unternehmen: Maßnahmenkatalog

Technische Härtung

• Extension-Allowlisting per MDM/GPO: Nur freigebene Add-ons zulassen, alle anderen sperren. Führe ein zentrales Inventar aller installierten Erweiterungen.
• Restriktive Browser-Policies: Sensible Domains (z. B. Meeting- und Identitäts-Provider) von Add-on-Zugriffen ausnehmen; Site Isolation aktivieren; automatische Updates protokollieren.
• Meeting-Sicherheit erhöhen: Keine eingebetteten Passcodes nutzen, Wartezimmer standardmäßig aktivieren, Einwahl ohne Host verbieten, Einladungen minimieren (keine vertraulichen Details im Betreff/Body).
• Zero Trust im Browser: Einsatz eines Enterprise Browsers oder Browser-Isolation für kritische Rollen; Least-Privilege für Erweiterungen.
• CASB/DLP einbinden: Erkenne und blockiere das Abfließen sensibler Meeting-Daten (Titel, Kundennamen) über Browser-Kanäle.
• EDR/SIEM nutzen: Ungewöhnliche DNS-/HTTP-Requests von Erweiterungen erkennen; passende Erkennungsregeln und Telemetrie aktivieren.
• OAuth-/App-Governance: Drittanbieter-Apps in Kollaborationsplattformen (z. B. Kalender/VC) regelmäßig reviewen und überflüssige Scopes entfernen.

Tipp: Verlinke in Deinem Intranet auf klare Richtlinien und Ressourcen, etwa unsere Awareness-Trainings, Phishing-Simulationen und den Security-Blog für aktuelle Bedrohungsanalysen. Keywords: Zero Trust, DLP.

Prozesse & Security Awareness

• Extension-Freigabeprozess etablieren: Sicherheitsreview, Datenschutz-Check, Anbieterbewertung – dokumentiert und nachvollziehbar.
• Richtlinien für Einladungen: Keine sensiblen Projektnamen, Finanzzahlen oder Kundenlisten in Betreff/Beschreibung; verwende neutrale Formulierungen.
• Security Awareness stärken: Schulungen zu Browser-Security, Meeting-Hygiene und Phishing. Ergänze das Training durch realistische Übungen mit Phishing-Simulationen.
• Incident-Playbook: Verfahren zum schnellen Entzug kompromittierter Erweiterungen, Rotation von Meeting-IDs/Passcodes und Benachrichtigung betroffener Teams.

Monitoring & Response

• Transparenz schaffen: Telemetrie zu Erweiterungsinstallationen und -updates ins SIEM einspeisen, Anomalien korrelieren (Zeitpunkte, User-Gruppen, Domains).
• Indicators of Compromise: Blocklisten für bekannte bösartige Extension-IDs/Publisher, DNS-Sinkhole für Command-and-Control-Hosts.
• Schnelle Gegenmaßnahmen: Forcierte Deinstallation per MDM, Browser-Profile zurücksetzen, Passwörter und Tokens erneuern, betroffene Einladungen widerrufen.

Pro & Contra: Harte Allowlists für Browser-Erweiterungen

• Pro: Deutlich reduzierte Angriffsfläche, bessere Compliance, reproduzierbare Workspaces.
• Contra: Mögliche Produktivitätsverluste, Schatten-IT-Risiko, zusätzlicher Betreuungsaufwand im IT-Support.

Praxisempfehlung: Beginne mit einer fokussierten Allowlist für Hochrisikorollen (Finanzen, Führung, Admins) und erweitere schrittweise. Ergänze sie um einen schnellen Request-Prozess für neue Tools. Keywords: Allowlisting, Policy Management.

Wusstest du?

Fazit & nächste Schritte

„Zoom Stealer“ zeigt, wie wertvoll Meeting-Metadaten für Angreifer geworden sind – und wie leicht sich Browser-Erweiterungen als Exfiltrationskanal tarnen. Die gute Nachricht: Mit einer Kombination aus technischen Kontrollen (Allowlisting, DLP, EDR), sauberen Prozessen und gezielter Security Awareness lässt sich das Risiko deutlich senken.

Starte in den nächsten 48 Stunden mit einem Extension-Audit, deaktiviere unbekannte Add-ons, härte Deine Meeting-Policies und informiere kritische Teams. Vertiefe das Thema mit unseren Awareness-Trainings und bleibe auf dem Laufenden über neue Kampagnen im Security-Blog. Wenn Du Unterstützung bei einer schnellen Risikoanalyse oder bei Policy-Templates brauchst, melde Dich – wir helfen Dir, den Browser als stärkste Linie Deiner Verteidigung aufzubauen.

• Browser-Security
• Phishing
• Data-Exfiltration
• Supply-Chain
• Collaboration-Security