top of page

ToddyCat usa malware Umbrij para acessar Gmail via OAuth e Google API

O grupo hacker ToddyCat foi associado a uma nova ferramenta maliciosa chamada Umbrij, desenvolvida para acessar de forma furtiva comunicações corporativas hospedadas no Gmail por meio da Google API. A campanha foi detalhada pela Kaspersky, que afirma que os invasores concentraram seus esforços no comprometimento de e-mails empresariais usando tokens OAuth como caminho de acesso.


Segundo a empresa, o ataque explora o funcionamento do OAuth 2.0, protocolo usado pela Google API para autorizar aplicações a acessar recursos de uma conta. Em vez de roubar diretamente a senha da vítima, o Umbrij busca obter um código de autorização OAuth e trocá-lo por um token de acesso. Com esse token, os invasores conseguem interagir com recursos da conta Google por meio da API, incluindo comunicações de e-mail.


A técnica foi batizada pela Kaspersky de Shadow Token via Remote Debug, ou STRD. O método se apoia em uma sessão ativa do Gmail em navegadores baseados em Chromium, como Google Chrome e Microsoft Edge. Na prática, o malware inicia o navegador em modo headless, ou seja, sem interface gráfica visível, conecta-se a ele por uma porta de depuração remota e aproveita uma sessão já autenticada para solicitar acesso aos recursos da conta.


Esse detalhe torna a abordagem especialmente relevante para ambientes corporativos. Se o usuário já estiver logado em serviços do Google no navegador, o Umbrij pode usar esse estado de autenticação para avançar no fluxo OAuth, selecionar a conta correta e conceder permissões à aplicação usada no processo. Com isso, os invasores contornam parte das barreiras tradicionais associadas ao roubo de credenciais.


A Kaspersky identificou três versões diferentes do Umbrij. Algumas delas incluem funções auxiliares para depuração e recursos para buscar e selecionar contas de usuário dentro do navegador. O malware foi escrito em .NET e ofuscado com ConfuserEx, um ofuscador open source usado para dificultar a análise do código e a detecção por ferramentas de segurança.


O ToddyCat é classificado como uma ameaça persistente avançada, ou APT, com histórico de ataques contra organizações na Europa e na Ásia desde pelo menos 2020. Em novembro de 2025, a Kaspersky já havia detalhado o uso, pelo grupo, de uma ferramenta personalizada chamada TCSectorCopy, empregada para coletar dados de e-mail do Microsoft Outlook pertencentes a empresas alvo.


O Umbrij foi descoberto durante uma operação de threat hunting da Kaspersky. A investigação identificou uma tarefa agendada que se passava por um componente da própria empresa, usando o nome “KasperskyEndpointSecurityEDRAvp”, para iniciar um arquivo assinado digitalmente. Esse arquivo, por sua vez, abusava de uma técnica conhecida como DLL side-loading para carregar a DLL maliciosa do Umbrij.


DLL side-loading ocorre quando um executável legítimo é usado para carregar uma biblioteca maliciosa no lugar de uma DLL esperada ou confiável. Nessa campanha, os invasores abusaram de três binários legítimos vulneráveis a essa técnica: BDSubWiz.exe, componente do Submission Wizard no Bitdefender ConnectAgent; VSTestVideoRecorder.exe, ferramenta de gravação de vídeo usada em testes com o Microsoft Visual Studio; e GoogleDesktop.exe, antigo aplicativo Google Desktop Search usado para indexar arquivos e fazer buscas locais no Windows.

Independentemente do executável usado, o resultado era o mesmo: a execução da DLL maliciosa do Umbrij. A ferramenta também pode ser chamada com parâmetros de linha de comando para definir quais navegadores devem ser alvo, como Chrome ou Edge, salvar uma captura do perfil do usuário como arquivo PDF e indicar o nome do usuário do sistema sob o qual o malware deverá operar.


Depois de executado em um host Windows comprometido, o Umbrij realiza uma série de etapas preparatórias para acessar a conta Gmail. Primeiro, verifica se a porta destinada à depuração do navegador está disponível. Em seguida, tenta obter o contexto do usuário procurando pelo processo “explorer.exe” e duplicando o token do primeiro processo encontrado. Essa ação permite que o malware preserve os privilégios do usuário logado. Alternativamente, os operadores podem usar o parâmetro “-user” para especificar qual conta local deve ser alvo.


Na sequência, o malware constrói o caminho até a pasta do navegador dentro do diretório de dados locais do usuário e analisa o arquivo “Local State” do Chrome ou do Edge para coletar informações sobre os perfis armazenados. Ele enumera esses perfis e procura pelo campo “user_name” contendo um endereço de e-mail. A presença desse endereço indica que o usuário está autenticado em algum serviço do Google.


O Umbrij então cria um diretório chamado “BackupFiles” dentro das pastas locais do Chrome e do Edge. Para cada perfil alvo, ele copia arquivos e diretórios como IndexedDB, Local Storage, Network, Login Data, Login Data For Account, Preferences, Secure Preferences e Web Data. Caso algum desses arquivos esteja bloqueado por outros processos, a ferramenta inclui um mecanismo de cópia forçada.


Depois disso, o malware busca as pastas de instalação do Chrome e do Edge nos diretórios “Program Files” e “Program Files (x86)”. Em seguida, inicia o navegador em modo headless usando o perfil copiado para a pasta “BackupFiles”. Esse processo faz com que o navegador carregue cookies ativos do usuário, incluindo a sessão autenticada na conta Google, sem exigir uma nova autenticação.


Com o navegador em execução, o Umbrij usa o Puppeteer, biblioteca JavaScript usada para controlar navegadores Chromium por meio do Chrome DevTools Protocol. A ferramenta se conecta à porta de depuração remota e envia uma solicitação de código de autorização para uma URL do domínio accounts.google[.]com. Essa solicitação inclui um “client_id” correspondente a uma ferramenta de migração usada para importar arquivos PST locais e dados de contas Microsoft Exchange para uma conta Google Workspace.


A requisição HTTP também especifica o conjunto de permissões solicitado pela aplicação. Em seguida, o malware usa JavaScript para emular cliques do mouse, selecionar a conta Google apropriada e conceder as permissões necessárias. Entre os acessos solicitados estão permissões amplas para Gmail, Drive, Contacts, Calendar e Tasks.


Após a concessão das permissões, a sessão do navegador é redirecionada para um endereço local definido na solicitação inicial. O Umbrij então extrai o código de autorização OAuth desse redirecionamento. Segundo a Kaspersky, o malware registra suas ações em detalhes e salva tudo em um arquivo de log, incluindo o código de autorização obtido. Posteriormente, o operador exfiltra esse arquivo do host comprometido.


Com o código de autorização em mãos, os invasores podem trocá-lo por um token de acesso OAuth. Esse token é então usado para conectar-se à conta Gmail por meio da API, comprometendo as comunicações corporativas sem depender diretamente de uma senha roubada.


A técnica mostra uma evolução no foco de grupos APT contra ambientes de e-mail corporativo. Ao abusar de sessões autenticadas, APIs legítimas, OAuth e ferramentas de migração reconhecidas pelo ecossistema Google Workspace, os operadores reduzem a visibilidade do ataque e podem parecer, em determinados estágios, uma aplicação autorizada acessando recursos permitidos.


Para mitigar o risco, a Kaspersky recomenda revisar os códigos de autorização concedidos a aplicações na página de conexões da conta Google, em myaccount.google[.]com/connections. As organizações devem procurar por aplicações chamadas “Google Workspace Migration for Microsoft Outlook” ou “Google Workspace Sync for Microsoft Outlook”. Se uma dessas aplicações aparecer e não for usada legitimamente pela organização, o acesso deve ser revogado para invalidar os tokens OAuth associados.


Andrey Gunkin, analista sênior de malware da Kaspersky, afirmou que o ToddyCat continua buscando novas formas de comprometer comunicações corporativas por e-mail. Segundo ele, o Umbrij automatiza tentativas de acesso a contas organizacionais, o que aumenta a escala e a frequência dos ataques e demonstra forte motivação e capacidade técnica avançada do grupo.

 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

(11) 93937-9007

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page