Kaspersky Rivela Nuovo Strumento di Attacco di ToddyCat per Compromettere Gmail
Redazione
- Nuovo strumento malware Umbrij
- Attacco a Gmail aziendali
- Rischio di compromissione delle credenziali
Indice
Kaspersky ha recentemente rivelato l’individuazione di un nuovo strumento di attacco, noto come Umbrij, utilizzato dal gruppo di hacker APT ToddyCat per compromettere gli account Gmail aziendali. Questa scoperta rappresenta un’importante evoluzione nella campagna di minacce mirate a rubare informazioni sensibili tramite l’API di Google.
L’approccio dell’attacco
Gli aggressori mirano a sfruttare le comunicazioni aziendali degli utenti di Gmail, puntando a ottenere accesso non autorizzato alle caselle di posta. Il malware è principalmente progettato per colpire sistemi operativi Windows, sebbene le tecniche impiegate potrebbero risultare efficaci anche su altre piattaforme.
Umbrij è in grado di stabilire connessioni nascoste attraverso una porta di debug, mascherando le proprie attività come processi legittimi. Questa strategia diminuisce il rischio di rilevamento, consentendo all’attaccante di operare ad un livello di discrezione avanzato e mantenere l’accesso agli ambienti compromessi.
Tecnica Shadow Token via Remote Debug (STRD)
Una delle innovazioni principali dell’attacco è la tecnica di furto chiamata Shadow Token via Remote Debug (STRD), che agisce su browser basati su Chromium. Il malware approfitta di sessioni Gmail già attive nel browser della vittima, evitando così di richiedere nuovamente le credenziali d’accesso. Quando un utente mantiene la sessione attiva, Umbrij avvia un’istanza del browser e assume il controllo tramite la porta di debug, effettuando richieste a Gmail per violare la sicurezza dell’account.
Implicazioni per la sicurezza
Il nuovo strumento è in grado di richiedere autorizzazioni estese, come l’accesso a email, dati di archiviazione cloud e contatti. Umbrij non solo facilita accessi non autorizzati, ma automatizza anche l’interazione con le finestre di consenso, approvando l’accesso con un semplice clic su “Consenti”.
Andrey Gunkin, Senior Malware Analyst di Kaspersky, ha affermato: “Monitoriamo l’attività di ToddyCat da diversi anni e continuiamo a osservare un continuo perfezionamento delle loro tecniche. Le aziende dovrebbero prestare particolare attenzione all’avvio di browser con porte di debug attive, poiché questo non è un comportamento normale per la maggior parte degli utenti.”
Raccomandazioni per le aziende
Per mitigare il rischio associato a questa minaccia, Kaspersky raccomanda alle organizzazioni di disattivare gli strumenti di sviluppo nei browser per gli utenti non coinvolti nello sviluppo web. Altre misure di sicurezza suggerite includono l’adozione di soluzioni avanzate come Kaspersky Next e servizi di sicurezza gestiti, per garantire una protezione continua contro gli attacchi informatici.
Conclusione
La scoperta del nuovo strumento Umbrij segna un ulteriore passo avanti nella sofisticata serie di attacchi condotti da ToddyCat. Le aziende devono rimanere vigili e adottare misure proattive per proteggere le loro informazioni e infrastrutture critiche. Per ulteriori dettagli, è possibile consultare il rapporto completo di Kaspersky su Securelist.com.