Hack Alerta

ToddyCat: APT rouba tokens de navegador para acessar e‑mails corporativos

Por Redação Hack Alerta Publicado em 24/11/2025 10:03 Cyber ataques Tempo de leitura: 3 min

Pesquisa da Securelist mostra que o grupo ToddyCat evoluiu ferramentas (TomBerBil PowerShell) para coletar arquivos de navegador via SMB, extrair chaves DPAPI e tokens OAuth 2.0, permitindo acesso a e‑mails corporativos mesmo quando hospedados na nuvem.

Pesquisadores documentaram que o grupo ToddyCat evoluiu técnicas para furtar tokens de OAuth 2.0 via arquivos de navegador acessados por SMB, permitindo exfiltração de e‑mails corporativos mesmo quando dados permanecem em provedores na nuvem.

Descoberta e escopo

Relatórios da Securelist (Kaspersky) e síntese pelo Cybersecurity News indicam operações observadas na segunda metade de 2024 e início de 2025. O grupo atualizou ferramentas — incluindo TomBerBil em versão PowerShell — capazes de acessar perfis de navegador (Chrome, Edge, Firefox) em máquinas da rede via compartilhamentos SMB.

Técnica de ataque

Segundo a análise, o fluxo inclui:

  • Execução de um script PowerShell a partir de um controlador de domínio com privilégios elevados;
  • Leitura de uma lista de nomes de computadores e conexão via \c$\ (SMB) para coletar arquivos do navegador como Login Data, Local State, cookies e chaves DPAPI;
  • Extração de arquivos de perfil do Firefox (key3.db, key4.db, logins.json etc.) e cópia de chaves DPAPI que permitem descriptografar credenciais offline;
  • Uso dos tokens OAuth 2.0 obtidos para acessar caixas de correio hospedadas em serviços cloud (Microsoft 365, Gmail) externamente à rede comprometida.

Impacto e sinais

O método contorna a suposição comum de que e‑mail em nuvem permanece seguro após comprometimento de rede local, porque os tokens roubados permitem sessões válidas sem o acesso direto aos servidores de e‑mail. O uso de SMB para ler arquivos remotos dificulta a detecção: muitas organizações registram acessos a arquivos de rede como operações administrativas legítimas.

Mitigações e detecção

Com base nas ações descritas na reportagem, equipes devem considerar medidas como:

  • Monitorar acessos SMB incomuns e movimentos laterais a partir de controladores de domínio;
  • Auditar e proteger perfis de navegador empresariais, restringir localização de chaves e armazenar segredos em cofres gerenciados;
  • Habilitar proteção de sessão e rotacionamento de tokens OAuth quando possível, bem como políticas de sessão que reduzam a validade de tokens;
  • Aplicar políticas de principio de menor privilégio para contas que têm acesso a \c$\ e revisar scripts PowerShell autorizados em endpoints.

Limites das informações

As fontes documentam técnicas e exemplos de código/fluxo do TomBerBil, mas não listam identificação completa de vítimas nem indicadores de comprometimento (hashes/URLs) na reportagem agregada. As datas de atividade reportadas cobrem principalmente o período 2H2024–início de 2025.

Baseado em publicação original de Securelist
Tags: #apt #oauth2 #tokens #smb #exfiltration #email #tomberbil #dpapi #securelist
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar