«Лаборатория Касперского» обнаружила у группировки ToddyCat новый инструмент Umbrij. Он нацелен на корпоративные аккаунты Gmail и может запрашивать через API Google доступ к почте, календарю, контактам и облачному хранилищу.
Схема работает в браузерах на базе Chromium. Если сотрудник не вышел из аккаунта Google, злоумышленники могут использовать сохранённую сессию, подключиться к браузеру через отладочный порт и запросить OAuth-токен с широкими правами. Логин и пароль при этом вводить не нужно.
Инструмент позволяет атакующим автоматизировать попытки получить доступ к электронной почте организаций, в результате чего растёт масштаб и частота атак.
Опасность в том, что доступ к переписке может долго оставаться незамеченным. Компаниям советуют проверять подключённые к Google-аккаунтам приложения и обращать внимание на запуск браузера с портом отладки — для обычного сотрудника это нетипично.
Комментарии