Kaspersky scopre Umbrij: il nuovo malware di ToddyCat che prende di mira gli account Gmail aziendali

Gli esperti di Kaspersky hanno individuato una nuova tecnica di attacco sviluppata dal gruppo APT ToddyCat, in grado di compromettere gli account Gmail aziendali senza richiedere il furto delle credenziali dell’utente.

La campagna introduce un nuovo strumento, denominato Umbrij, che sfrutta una tecnica battezzata Shadow Token via Remote Debug (STRD). L’obiettivo è ottenere l’accesso alle API di Gmail abusando di sessioni di autenticazione già attive nel browser, consentendo agli attaccanti di sottrarre token OAuth e accedere a dati aziendali sensibili.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Come funziona il nuovo attacco a Gmail

A differenza delle tradizionali campagne di phishing, Umbrij non punta a sottrarre username e password.

L’attacco sfrutta una condizione comune negli ambienti di lavoro: l’utente lascia aperta la propria sessione Gmail nel browser. Se la sessione è ancora autenticata, il malware avvia una nuova istanza di un browser basato su Chromium utilizzando una porta di debug remota, assumendone il controllo senza destare sospetti.

Attraverso questo meccanismo, gli attaccanti possono inviare richieste direttamente alle API di Gmail nel contesto della sessione già autenticata, evitando completamente la richiesta di nuove credenziali.

Shadow Token via Remote Debug: cos’è la tecnica STRD

La tecnica STRD rappresenta un’evoluzione degli attacchi basati sul furto dei token di autenticazione.

Umbrij stabilisce una connessione nascosta attraverso la porta di debug del browser e maschera la propria attività simulando un processo legittimo. Questo riduce significativamente le probabilità di rilevamento da parte degli strumenti di sicurezza tradizionali.

Una volta ottenuto il controllo del browser, il malware automatizza anche la finestra di consenso OAuth, cliccando autonomamente sul pulsante “Consenti” per acquisire il codice di autorizzazione necessario ad accedere alle risorse dell’account Google.

Leggi anche:  Agenti AI fuori controllo: cinque mosse per i CISO

I dati aziendali nel mirino

L’accesso ottenuto da Umbrij non si limita alla casella di posta elettronica.

Tra le autorizzazioni che il malware può acquisire figurano:

  • accesso completo alla posta Gmail;
  • consultazione dei contatti aziendali;
  • accesso ai file archiviati nel cloud;
  • utilizzo delle API di Google nel contesto dell’utente compromesso.

Si tratta di una tecnica particolarmente insidiosa perché sfrutta autorizzazioni legittime e sessioni già aperte, rendendo più difficile individuare attività anomale.

Perché l’attacco preoccupa le aziende

La nuova campagna evidenzia come gli attori APT stiano spostando l’attenzione dal furto delle credenziali al furto delle sessioni di autenticazione.

Questo approccio permette di aggirare anche sistemi di protezione avanzati come:

  • autenticazione multifattore (MFA);
  • password robuste;
  • sistemi di rilevamento del phishing.

In pratica, se una sessione autenticata è già attiva sul dispositivo compromesso, il malware può sfruttarla senza che l’utente debba inserire nuovamente le proprie credenziali.

tecnica attacco gmail aziendale
Tecnica di furto del token OAuth tramite Umbrij

Le raccomandazioni di Kaspersky

Secondo Andrey Gunkin, il nuovo strumento dimostra la continua evoluzione delle capacità operative di ToddyCat.

“Monitoriamo l’attività di ToddyCat da diversi anni e continuiamo a osservare come il gruppo perfezioni costantemente sia i propri strumenti sia le proprie tecniche di attacco. Le aziende dovrebbero considerare che l’avvio di un browser con una porta di debug abilitata non rappresenta un’attività normale per la maggior parte degli utenti. Disattivare gli strumenti di sviluppo nei browser Chromium per chi non ne ha necessità può contribuire a mitigare il rischio e invalidare l’accesso associato a token potenzialmente compromessi.”

Tra le principali contromisure suggerite dagli esperti figurano:

  • disabilitare le porte di debug dei browser Chromium sugli endpoint aziendali;
  • limitare l’uso degli strumenti di sviluppo ai soli utenti autorizzati;
  • monitorare processi e connessioni anomale verso le porte di debug;
  • revocare periodicamente i token OAuth non più necessari;
  • implementare sistemi di Endpoint Detection and Response (EDR) in grado di identificare comportamenti anomali dei browser.
Leggi anche:  Trend Micro presenta Trend Vision One AI Security Package

Una nuova evoluzione delle minacce APT

Il caso Umbrij conferma una tendenza ormai consolidata nel panorama della cybersecurity: gli attacchi APT stanno diventando sempre più sofisticati e puntano a sfruttare meccanismi di autenticazione già esistenti anziché violarli direttamente.

Per le aziende, questo significa che la sola adozione dell’autenticazione multifattore non è più sufficiente. Diventa fondamentale affiancare strumenti di monitoraggio delle sessioni, controllo degli endpoint e gestione dei token di accesso, adottando un approccio di sicurezza multilivello capace di individuare anche tecniche avanzate come la Shadow Token via Remote Debug.

L’individuazione di Umbrij da parte di Kaspersky rappresenta quindi un nuovo campanello d’allarme per le organizzazioni che utilizzano quotidianamente Gmail e altri servizi cloud basati su OAuth, evidenziando la necessità di rafforzare la protezione delle sessioni utente oltre che delle credenziali di accesso.

Per ulteriori dettagli sul nuovo strumento APT, è possibile consultare Securelist.com.