O ator de ameaças conhecido como ToddyCat foi atribuído a um novo malware chamado Umbrij, projetado para obter acesso sorrateiro às correspondências de e-mail de uma vítima por meio da API do Google. Em esta campanha, os atacantes focaram sua atenção nas comunicações de e-mail corporativo hospedadas no Gmail, visando acesso comprometido via APIs, disse a Kaspersky em um relatório detalhado publicado nesta semana.
Descoberta e escopo da campanha
A Kaspersky identificou o Umbrij como uma nova ferramenta utilizada pelo grupo ToddyCat, que tem sido ativo em operações de espionagem cibernética. O malware é projetado para explorar fluxos de autenticação OAuth para obter acesso a contas de e-mail do Gmail sem a necessidade de credenciais de login tradicionais. Isso permite que os atacantes contornem medidas de segurança como autenticação multifator (MFA) se o token de acesso for comprometido.
A campanha foca especificamente em comunicações de e-mail corporativo, o que sugere que os atacantes estão buscando informações sensíveis de empresas e organizações. O uso da API do Google permite que o malware opere de forma mais discreta, aproveitando a confiança inerente nas integrações legítimas do Gmail.
Vetor e exploração
O ataque começa com a obtenção de um token de acesso OAuth válido. Uma vez obtido, o malware utiliza esse token para fazer solicitações à API do Gmail, permitindo a leitura, o envio e o gerenciamento de e-mails da vítima. A técnica de abuso de OAuth é particularmente perigosa porque pode parecer legítima para ferramentas de segurança tradicionais que monitoram o tráfego de rede.
Os atacantes podem usar o acesso ao e-mail para roubar credenciais, realizar phishing direcionado ou exfiltrar dados confidenciais. A capacidade de acessar e-mails corporativos também pode ser usada para comprometer outras contas e sistemas dentro da rede da vítima, facilitando o movimento lateral.
Impacto e alcance
O comprometimento de contas de e-mail corporativo pode ter um impacto significativo nas operações de uma organização. Os atacantes podem acessar informações financeiras, dados de clientes, propriedade intelectual e comunicações estratégicas. Além disso, o acesso ao e-mail pode ser usado para lançar ataques de phishing mais convincentes contra colegas de trabalho e parceiros comerciais.
A Kaspersky recomenda que as organizações revisem as permissões de aplicativos conectados às suas contas do Google Workspace e revoguem o acesso a aplicativos não confiáveis. A implementação de políticas de acesso condicional e a monitoração de atividades de API anômalas também são medidas importantes para mitigar o risco.
Medidas de mitigação recomendadas
1. Revogue o acesso a aplicativos não confiáveis no Google Workspace. 2. Implemente políticas de acesso condicional para autenticação de API. 3. Monitore atividades de API para detectar comportamentos anômalos. 4. Treine usuários para identificar e-mails de phishing e solicitações de autenticação suspeitas. 5. Utilize soluções de segurança que monitorem o uso de OAuth e tokens de acesso.
Perguntas frequentes
Como o Umbrij obtém acesso? Ele abusa de tokens OAuth para acessar a API do Gmail sem credenciais de login.
É detectável por antivírus? O uso de APIs legítimas torna a detecção tradicional difícil, exigindo monitoramento de comportamento e análise de API.
Como proteger contas do Google? Revogue permissões de aplicativos, implemente MFA e monitore atividades de API.