Novo Toolkit 'Umbrij' Permite Acesso Silencioso a E-mails Corporativos do Gmail
Especialistas em cibersegurança identificaram o Umbrij, uma nova ferramenta do grupo ToddyCat, que explora o Google API para roubar tokens OAuth e acessar contas Gmail sem a necessidade de senhas. A técnica, denominada STRD, utiliza sessões ativas de navegador para obter acesso a e-mails, Google Drive e outros serviços.
MundiX News·01 de julho de 2026·5 min de leitura·👁 1 views
Especialistas da Kaspersky identificaram um novo conjunto de ferramentas desenvolvido pelo grupo ToddyCat, projetado para obter acesso discreto a e-mails corporativos do Gmail através do Google API. O malware, batizado de Umbrij, explora sessões ativas de navegador da vítima para extrair tokens OAuth sem a necessidade de inserir senhas. Essa descoberta representa um avanço significativo nas táticas de ataque direcionadas a ambientes corporativos que dependem fortemente dos serviços do Google.
O protocolo OAuth 2.0 é fundamental para a autorização no Google API, permitindo que aplicações acessem recursos como e-mails e outros dados sem expor credenciais. O Umbrij foi criado para contornar esse processo, conectando-se ao console de gerenciamento do navegador em modo oculto (headless) através de uma porta de depuração. A técnica, denominada Shadow Token via Remote Debug (STRD), funciona em navegadores baseados em Chromium. Se um funcionário não sair de sua conta Google, os cookies e dados da sessão ativa são armazenados no perfil do navegador. O Umbrij copia esse perfil, inicia o Google Chrome ou Microsoft Edge em segundo plano e abre uma porta de depuração remota. Em seguida, a ferramenta se conecta ao navegador via protocolo DevTools e inicia a autorização OAuth. Como a sessão já está ativa, não é necessário reinserir as credenciais. O Umbrij seleciona automaticamente a conta correta, confirma as permissões solicitadas e intercepta o código de autorização, que pode ser trocado por um token OAuth.
Com o token OAuth obtido, os atacantes podem acessar serviços do Google via API, ler e-mails, gerenciar arquivos no Google Drive, acessar contatos, dados de calendário e outros serviços. Crucialmente, essa atividade não é refletida no perfil principal do usuário, pois o Umbrij opera a partir de uma cópia isolada. Para disfarçar suas requisições, o malware utiliza identificadores de aplicações legítimas do Google Workspace, como 'Google Workspace Migration for Microsoft Outlook' e 'Google Workspace Sync for Microsoft Outlook'. No entanto, a lista de permissões e os parâmetros OAuth solicitados diferem dos aplicativos genuínos, com o Umbrij exigindo acesso total ao Gmail, armazenamento em nuvem e contatos. O Umbrij, como outras ferramentas do ToddyCat, registra detalhadamente suas ações em arquivos de log, incluindo o código de autorização interceptado, que é posteriormente exfiltrado do host comprometido. Adicionalmente, o malware pode gerar um arquivo PDF para o perfil do usuário em navegadores Chrome e Edge ao acessar páginas como edge://profile-internals e chrome://profile-internals, capturando um snapshot da página onde o processo de confirmação de permissões foi interrompido, útil para documentar a exploração.
Os pesquisadores descobriram três versões do Umbrij, todas implementadas como bibliotecas DLL em .NET e ofuscadas com ConfuserEx. Os atacantes empregaram a técnica de DLL sideloading, utilizando arquivos legítimos como Bitdefender ConnectAgent, Visual Studio e o obsoleto Google Desktop Search para executar o malware. Em um caso, os invasores criaram uma tarefa agendada com o nome 'KasperskyEndpointSecurityEDRAvp', na tentativa de mascarar a atividade maliciosa como uma operação do software antivírus. Embora o Umbrij tenha sido identificado visando sistemas Windows, a técnica de ataque subjacente é potencialmente adaptável a outros sistemas operacionais. "O e-mail continua sendo o principal meio de comunicação corporativa, e os invasores recorrem a vários métodos para lê-lo. A descoberta do Umbrij é mais uma prova disso. A ferramenta permite que os atacantes automatizem as tentativas de acessar o e-mail das organizações, aumentando a escala e a frequência dos ataques. A descoberta também indica a alta motivação e a evolução das habilidades técnicas do grupo ToddyCat", comentou Andrey Gun'kin, especialista em cibersegurança na Kaspersky. Para detectar o STRD, os especialistas recomendam monitorar a execução de navegadores Chromium com os parâmetros --remote-debugging-port e --headless, pois esse comportamento é atípico para usuários comuns. Administradores também devem verificar regularmente a lista de aplicativos de terceiros com acesso às contas Google e revogar permissões de serviços desconhecidos. Em máquinas de funcionários que não necessitam de ferramentas de desenvolvimento web, é possível desabilitar o DevTools através das políticas corporativas do navegador. Recomenda-se também que os usuários saiam de suas contas Google ao final do expediente; sem uma sessão salva, o Umbrij não conseguirá realizar a autorização OAuth automática.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas da Kaspersky identificaram um novo conjunto de ferramentas desenvolvido pelo grupo ToddyCat, projetado para obter acesso discreto a e-mails corporativos do Gmail através do Google API. O malware, batizado de Umbrij, explora sessões ativas de navegador da vítima para extrair tokens OAuth sem a necessidade de inserir senhas. Essa descoberta representa um avanço significativo nas táticas de ataque direcionadas a ambientes corporativos que dependem fortemente dos serviços do Google.
O protocolo OAuth 2.0 é fundamental para a autorização no Google API, permitindo que aplicações acessem recursos como e-mails e outros dados sem expor credenciais. O Umbrij foi criado para contornar esse processo, conectando-se ao console de gerenciamento do navegador em modo oculto (headless) através de uma porta de depuração. A técnica, denominada Shadow Token via Remote Debug (STRD), funciona em navegadores baseados em Chromium. Se um funcionário não sair de sua conta Google, os cookies e dados da sessão ativa são armazenados no perfil do navegador. O Umbrij copia esse perfil, inicia o Google Chrome ou Microsoft Edge em segundo plano e abre uma porta de depuração remota. Em seguida, a ferramenta se conecta ao navegador via protocolo DevTools e inicia a autorização OAuth. Como a sessão já está ativa, não é necessário reinserir as credenciais. O Umbrij seleciona automaticamente a conta correta, confirma as permissões solicitadas e intercepta o código de autorização, que pode ser trocado por um token OAuth.
Com o token OAuth obtido, os atacantes podem acessar serviços do Google via API, ler e-mails, gerenciar arquivos no Google Drive, acessar contatos, dados de calendário e outros serviços. Crucialmente, essa atividade não é refletida no perfil principal do usuário, pois o Umbrij opera a partir de uma cópia isolada. Para disfarçar suas requisições, o malware utiliza identificadores de aplicações legítimas do Google Workspace, como 'Google Workspace Migration for Microsoft Outlook' e 'Google Workspace Sync for Microsoft Outlook'. No entanto, a lista de permissões e os parâmetros OAuth solicitados diferem dos aplicativos genuínos, com o Umbrij exigindo acesso total ao Gmail, armazenamento em nuvem e contatos. O Umbrij, como outras ferramentas do ToddyCat, registra detalhadamente suas ações em arquivos de log, incluindo o código de autorização interceptado, que é posteriormente exfiltrado do host comprometido. Adicionalmente, o malware pode gerar um arquivo PDF para o perfil do usuário em navegadores Chrome e Edge ao acessar páginas como edge://profile-internals e chrome://profile-internals, capturando um snapshot da página onde o processo de confirmação de permissões foi interrompido, útil para documentar a exploração.
Os pesquisadores descobriram três versões do Umbrij, todas implementadas como bibliotecas DLL em .NET e ofuscadas com ConfuserEx. Os atacantes empregaram a técnica de DLL sideloading, utilizando arquivos legítimos como Bitdefender ConnectAgent, Visual Studio e o obsoleto Google Desktop Search para executar o malware. Em um caso, os invasores criaram uma tarefa agendada com o nome 'KasperskyEndpointSecurityEDRAvp', na tentativa de mascarar a atividade maliciosa como uma operação do software antivírus. Embora o Umbrij tenha sido identificado visando sistemas Windows, a técnica de ataque subjacente é potencialmente adaptável a outros sistemas operacionais. "O e-mail continua sendo o principal meio de comunicação corporativa, e os invasores recorrem a vários métodos para lê-lo. A descoberta do Umbrij é mais uma prova disso. A ferramenta permite que os atacantes automatizem as tentativas de acessar o e-mail das organizações, aumentando a escala e a frequência dos ataques. A descoberta também indica a alta motivação e a evolução das habilidades técnicas do grupo ToddyCat", comentou Andrey Gun'kin, especialista em cibersegurança na Kaspersky. Para detectar o STRD, os especialistas recomendam monitorar a execução de navegadores Chromium com os parâmetros --remote-debugging-port e --headless, pois esse comportamento é atípico para usuários comuns. Administradores também devem verificar regularmente a lista de aplicativos de terceiros com acesso às contas Google e revogar permissões de serviços desconhecidos. Em máquinas de funcionários que não necessitam de ferramentas de desenvolvimento web, é possível desabilitar o DevTools através das políticas corporativas do navegador. Recomenda-se também que os usuários saiam de suas contas Google ao final do expediente; sem uma sessão salva, o Umbrij não conseguirá realizar a autorização OAuth automática.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.