Kaspersky Lab ha descubierto una nueva herramienta, Umbrij, utilizada por el grupo ToddyCat. Está dirigida a cuentas corporativas de Gmail y puede solicitar acceso a correo electrónico, calendario, contactos y almacenamiento en la nube a través de la API de Google.
El esquema funciona en navegadores basados en Chromium. Si un empleado no ha cerrado sesión en su cuenta de Google, los atacantes pueden usar la sesión guardada, conectarse al navegador a través del puerto de depuración y solicitar un token OAuth con amplios privilegios. No es necesario introducir el nombre de usuario y la contraseña.
La herramienta permite a los atacantes automatizar los intentos de obtener acceso al correo electrónico de las organizaciones, lo que aumenta la escala y la frecuencia de los ataques.
El peligro es que el acceso a la correspondencia puede pasar desapercibido durante mucho tiempo. Se aconseja a las empresas que verifiquen las aplicaciones conectadas a las cuentas de Google y que presten atención al inicio del navegador con el puerto de depuración, ya que esto no es típico para un empleado normal.
Leer más sobre este tema:
- Los sitios web rusos bloquean el registro a través de Gmail después de la introducción de multas
- Backdoor en DAEMON Tools: Kaspersky revela ataque a través de instaladores oficiales