O grupo de ameaça conhecido como ToddyCat foi atribuído a um novo malware chamado Umbrij, projetado para obter acesso discreto às correspondências de e-mail da vítima por meio da API do Google.
“Nesta campanha, os invasores concentraram sua atenção nas comunicações corporativas de e-mail hospedadas no Gmail, mirando a obtenção de acesso comprometido via APIs”, informou a Kaspersky em um relatório detalhado publicado nesta semana.
“Como a API do Google depende do protocolo OAuth 2.0 para autorização, os aplicativos podem usar um token OAuth para acessar os recursos de e-mail solicitados.”
Segundo a empresa, o adversário desenvolveu o Umbrij para obter esse token e usá-lo para se conectar ao console de gerenciamento do navegador em modo headless por meio de uma porta de depuração remota.
Na sequência, uma série de requisições é enviada para obter um código de autorização OAuth, que depois é trocado por um token de acesso para alcançar os recursos-alvo via API.
A técnica recebeu o nome de Shadow Token via Remote Debug, ou STRD, pela fornecedora russa de cibersegurança.
O que chama atenção nesse ataque é que ele funciona em navegadores baseados em Chromium e explora uma sessão ativa do Gmail.
Em outras palavras, a ideia é iniciar o navegador em modo headless, conectar-se pela porta de depuração remota para assumir o controle e aproveitar uma sessão do Gmail já autenticada para obter acesso aos recursos da conta Google.
Três versões diferentes do Umbrij já foram identificadas, incluindo variantes com funções auxiliares para depuração e para localizar e selecionar contas de usuário dentro do navegador.
ToddyCat é o nome atribuído a uma ameaça persistente avançada, ou APT, que vem mirando organizações na Europa e na Ásia desde pelo menos 2020.
Em novembro de 2025, a Kaspersky detalhou o uso, pelo grupo de hackers, de uma ferramenta personalizada chamada TCSectorCopy para obter dados de e-mail do Microsoft Outlook pertencentes a empresas-alvo.
A empresa de cibersegurança afirmou ter descoberto o Umbrij durante uma operação de caça a ameaças.
Nesse contexto, uma tarefa agendada que imitava seu software, identificada como “KasperskyEndpointSecurityEDRAvp”, foi usada para executar um arquivo assinado digitalmente.
Esse arquivo, por sua vez, recorreu a DLL side-loading para iniciar o Umbrij.
Para cumprir essa tarefa, foram abusados três binários legítimos vulneráveis a DLL side-loading: BDSubWiz.exe, componente do Submission Wizard no Bitdefender ConnectAgent; VSTestVideoRecorder.exe, componente da ferramenta de gravação de vídeo usada em testes com o Microsoft Visual Studio; e GoogleDesktop.exe, uma aplicação descontinuada do Google Desktop Search usada para indexar arquivos e fazer buscas rápidas em um computador Windows local.
Independentemente do executável utilizado, o resultado é o mesmo: o carregamento da DLL maliciosa do Umbrij, escrita em .NET e ofuscada com ConfuserEx, um ofuscador open source.
A ferramenta também pode ser acionada com parâmetros de linha de comando que definem quais navegadores devem ser alvo, se deve salvar uma captura de tela do perfil do usuário em formato PDF e qual nome de usuário do sistema será usado na execução.
Depois de iniciado, o Umbrij executa uma série de ações preparatórias em um host Windows comprometido para violar a conta do Gmail:
Verifica se a porta destinada à depuração do navegador está disponível.
Obtém o contexto do usuário ao localizar o processo “explorer.exe” e duplicar o token da primeira instância encontrada, preservando assim todos os privilégios desse usuário já autenticado.
Como alternativa, o parâmetro -user <nome de usuário> pode ser usado para especificar o usuário-alvo cujo token deve ser duplicado.
Constrói o caminho da pasta do aplicativo do navegador no diretório de dados locais do usuário e analisa o arquivo Local State correspondente ao Chrome ou ao Edge para reunir informações sobre os perfis de usuário armazenados no navegador.
Enumera todos os perfis e os examina em busca de um campo chamado “user_name” que contenha um endereço de e-mail.
Vale destacar que a presença de um endereço de e-mail indica que o usuário está autenticado em um serviço do Google.
Cria um diretório chamado “BackupFiles” em “%LOCALAPPDATA%\Google\Chrome\” e “%LOCALAPPDATA%\Microsoft\Edge\”.
Copia para esses diretórios os seguintes arquivos e pastas de cada perfil-alvo: IndexedDB, Local Storage, Network, Login Data, Login Data For Account, Preferences, Secure Preferences e Web Data.
Se esses arquivos estiverem bloqueados por outros processos, a ferramenta inclui um mecanismo de cópia forçada.
Procura nas pastas “Program Files” e “Program Files (x86)” o diretório de instalação do navegador Chrome e do Edge.
Inicia os navegadores em modo headless usando o perfil do usuário copiado para a pasta “BackupFiles”, fazendo com que o navegador aplique todos os cookies ativos do usuário, incluindo a conta Google autenticada, e ignore a autenticação.
Usa Puppeteer, biblioteca JavaScript usada para controlar navegadores baseados em Chromium por meio do Chrome DevTools Protocol, para se conectar à porta de depuração remota e enviar uma requisição de código de autorização para direcionar o navegador a uma URL “accounts.google[.]com/o/oauth2/v2/auth/identifier” contendo um “client_id” que corresponde a uma ferramenta de migração usada para importar arquivos PST locais e dados de contas do Microsoft Exchange para uma conta do Google Workspace.
A requisição HTTP GET também especifica o conjunto de permissões exigidas pelo aplicativo.
Em seguida, usa JavaScript para emular cliques do mouse, selecionar a conta Google apropriada após navegar até a URL e conceder as permissões necessárias, incluindo acesso total ao Gmail, Drive, Contatos, Calendário e Tasks.
Redireciona a sessão do navegador para um endereço local especificado na requisição inicial e extrai dele o código de autorização OAuth.
“O Umbrij, como a maioria das outras ferramentas no arsenal do ToddyCat, registra suas ações em detalhes e as salva em um arquivo”, disse a Kaspersky.
“Ele também salva o código de autorização obtido nesse arquivo de log, que o operador posteriormente exfiltra do host comprometido.”
“O código de autorização obtido é então trocado por um token de acesso OAuth.
Os agentes de ameaça usam esse token para se conectar à conta do Gmail por meio da API, comprometendo assim as comunicações corporativas por e-mail.”
Para se defender contra essa ameaça, a recomendação é revisar os códigos de autorização concedidos a aplicativos acessando “myaccount.google[.]com/connections” e verificando se há aplicativos chamados “Google Workspace Migration for Microsoft Outlook” ou “Google Workspace Sync for Microsoft Outlook”.
Se qualquer um deles estiver presente e não for realmente utilizado na organização, é essencial revogar seu acesso para invalidar os tokens OAuth.
“O grupo ToddyCat APT continua buscando formas de comprometer comunicações corporativas por e-mail”, afirmou Andrey Gunkin, analista sênior de malware da Kaspersky.
“Sua nova ferramenta, Umbrij, automatiza as tentativas dos invasores de obter acesso às contas de e-mail das organizações.
Essa automação não apenas ajuda a ampliar a escala e a frequência dos ataques, como também demonstra a forte motivação e as habilidades técnicas avançadas do ToddyCat.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...