O grupo de ameaça conhecido como ToddyCat tem adotado novas estratégias para acessar dados de e-mails corporativos de empresas-alvo, entre elas o uso de uma ferramenta personalizada chamada TCSectorCopy.
Segundo a Kaspersky, essa técnica permite obter tokens do protocolo de autorização OAuth 2.0 diretamente pelo navegador do usuário.
Com esses tokens, os invasores conseguem acessar e-mails corporativos mesmo fora da infraestrutura comprometida.
Ativo desde 2020, o ToddyCat tem histórico de ataques a organizações na Europa e Ásia, utilizando diversas ferramentas, como Samurai e TomBerBil, para manter acesso persistente e roubar cookies e credenciais de navegadores como Google Chrome e Microsoft Edge.
Em abril deste ano, o grupo explorou uma vulnerabilidade no ESET Command Line Scanner (
CVE-2024-11859
, com pontuação 6,8 no CVSS) para disseminar um malware até então desconhecido, codificado como TCESB.
A Kaspersky identificou também uma nova variante em PowerShell do TomBerBil em ataques realizados entre maio e junho de 2024.
Diferente das versões anteriores em C++ e C#, essa versão pode extrair informações do Mozilla Firefox e é capaz de operar em controladores de domínio como usuário privilegiado, acessando arquivos do navegador por meio de recursos compartilhados via protocolo SMB.
O malware é executado por uma tarefa agendada que dispara um comando PowerShell para buscar histórico, cookies e credenciais salvas no host remoto via SMB.
Embora os arquivos copiados estejam criptografados com a API de Proteção de Dados do Windows (DPAPI), o TomBerBil captura a chave necessária para descriptografá-los.
Explicam os pesquisadores: “A versão anterior do TomBerBil rodava localmente e copiava o token do usuário, permitindo que o DPAPI descriptografasse a chave mestra na sessão ativa e assim os arquivos.
Na nova versão para servidores, o malware copia os arquivos das chaves de criptografia usadas pelo DPAPI.
Com essas chaves, além do SID e senha do usuário, os invasores conseguem descriptografar os arquivos copiando-os localmente.”
Além disso, o ToddyCat tem acessado e-mails corporativos armazenados localmente no Microsoft Outlook em arquivos OST (Offline Storage Table) usando a ferramenta TCSectorCopy (nomeada como xCopy.exe).
Desenvolvida em C++, essa ferramenta copia os arquivos setor por setor ao abrir o disco em modo somente leitura, contornando restrições que bloqueiam o acesso quando o Outlook está em execução.
Depois, o conteúdo dos arquivos OST é extraído com o auxílio do XstReader, um visualizador open-source para arquivos OST e PST do Outlook.
Outra tática observada é a obtenção direta de tokens de acesso da memória em ambientes que utilizam o Microsoft 365.
Para isso, o grupo usa o SharpTokenFinder, uma ferramenta em C# que busca tokens de autenticação em texto claro em aplicações do Microsoft 365.
No entanto, ao menos em um caso analisado, o ToddyCat foi bloqueado quando um software de segurança impediu a tentativa do SharpTokenFinder de acessar o processo Outlook.exe.
Para superar essa barreira, os invasores usaram o ProcDump, da suíte Sysinternals, com argumentos específicos para capturar uma imagem da memória do processo Outlook.
A Kaspersky destaca que “o grupo ToddyCat continua desenvolvendo suas técnicas e buscando métodos para ocultar suas atividades, visando acessar a correspondência corporativa dentro das infraestruturas comprometidas.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...