Hack Alerta

Malware Umbrij ligado ao grupo ToddyCat usa OAuth para acessar Gmail via API do Google

Malware Umbrij ligado ao grupo ToddyCat usa OAuth para acessar Gmail via API do Google, comprometendo comunicações corporativas.

O ator de ameaças conhecido como ToddyCat foi atribuído a um novo malware chamado Umbrij, projetado para obter acesso sorrateiro às correspondências de e-mail de uma vítima por meio da API do Google. Em esta campanha, os atacantes focaram sua atenção nas comunicações de e-mail corporativo hospedadas no Gmail, visando acesso comprometido via APIs, disse a Kaspersky em um relatório detalhado publicado nesta semana.

Descoberta e escopo da campanha

A Kaspersky identificou o Umbrij como uma nova ferramenta utilizada pelo grupo ToddyCat, que tem sido ativo em operações de espionagem cibernética. O malware é projetado para explorar fluxos de autenticação OAuth para obter acesso a contas de e-mail do Gmail sem a necessidade de credenciais de login tradicionais. Isso permite que os atacantes contornem medidas de segurança como autenticação multifator (MFA) se o token de acesso for comprometido.

A campanha foca especificamente em comunicações de e-mail corporativo, o que sugere que os atacantes estão buscando informações sensíveis de empresas e organizações. O uso da API do Google permite que o malware opere de forma mais discreta, aproveitando a confiança inerente nas integrações legítimas do Gmail.

Vetor e exploração

O ataque começa com a obtenção de um token de acesso OAuth válido. Uma vez obtido, o malware utiliza esse token para fazer solicitações à API do Gmail, permitindo a leitura, o envio e o gerenciamento de e-mails da vítima. A técnica de abuso de OAuth é particularmente perigosa porque pode parecer legítima para ferramentas de segurança tradicionais que monitoram o tráfego de rede.

Os atacantes podem usar o acesso ao e-mail para roubar credenciais, realizar phishing direcionado ou exfiltrar dados confidenciais. A capacidade de acessar e-mails corporativos também pode ser usada para comprometer outras contas e sistemas dentro da rede da vítima, facilitando o movimento lateral.

Impacto e alcance

O comprometimento de contas de e-mail corporativo pode ter um impacto significativo nas operações de uma organização. Os atacantes podem acessar informações financeiras, dados de clientes, propriedade intelectual e comunicações estratégicas. Além disso, o acesso ao e-mail pode ser usado para lançar ataques de phishing mais convincentes contra colegas de trabalho e parceiros comerciais.

A Kaspersky recomenda que as organizações revisem as permissões de aplicativos conectados às suas contas do Google Workspace e revoguem o acesso a aplicativos não confiáveis. A implementação de políticas de acesso condicional e a monitoração de atividades de API anômalas também são medidas importantes para mitigar o risco.

Medidas de mitigação recomendadas

1. Revogue o acesso a aplicativos não confiáveis no Google Workspace. 2. Implemente políticas de acesso condicional para autenticação de API. 3. Monitore atividades de API para detectar comportamentos anômalos. 4. Treine usuários para identificar e-mails de phishing e solicitações de autenticação suspeitas. 5. Utilize soluções de segurança que monitorem o uso de OAuth e tokens de acesso.

Perguntas frequentes

Como o Umbrij obtém acesso? Ele abusa de tokens OAuth para acessar a API do Gmail sem credenciais de login.

É detectável por antivírus? O uso de APIs legítimas torna a detecção tradicional difícil, exigindo monitoramento de comportamento e análise de API.

Como proteger contas do Google? Revogue permissões de aplicativos, implemente MFA e monitore atividades de API.


Baseado em publicação original de The Hacker News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.