El ataque, atribuido al grupo APT ToddyCat, aprovecha sesiones activas en navegadores basados en Chromium. Para solicitar permisos sobre correos, almacenamiento en la nube y contactos empresariales.
Expertos de Kaspersky identificaron una nueva técnica utilizada por el grupo APT ToddyCat para intentar acceder a cuentas corporativas de Gmail. Sin necesidad de robar directamente la contraseña del usuario.
En lugar de eso, los atacantes aprovechan sesiones de Gmail que permanecen abiertas en el navegador para solicitar permisos sobre recursos de Google. Como correos electrónicos, archivos almacenados en la nube y contactos empresariales.
En esta campaña, los atacantes apuntaron a comunicaciones corporativas alojadas en Gmail. Con el objetivo de obtener acceso no autorizado a cuentas de correo mediante la API del servicio. Aunque el malware identificado fue diseñado para afectar a usuarios de Windows. La técnica podría adaptarse potencialmente a otros sistemas.
La técnica fue denominada Shadow Token via Remote Debug, o STRD. Y afecta a navegadores basados en Chromium.
En términos simples, el ataque funciona porque muchos usuarios dejan su sesión de Gmail abierta en el navegador. Cuando esto ocurre, el navegador conserva una especie de “llave digital”. Que permite seguir usando la cuenta sin volver a escribir la contraseña. ToddyCat aprovecha esa condición para intentar tomar control de esa sesión y solicitar acceso a información sensible.
Para ejecutar el ataque, el grupo utilizó un malware llamado Umbrij. Capaz de abrir una conexión oculta a través de una función del navegador que normalmente usan los desarrolladores para hacer pruebas. Al hacerlo, los atacantes pueden enviar solicitudes a Gmail como si provinieran de una sesión ya autenticada del usuario.
Una vez dentro de ese flujo, el malware puede solicitar permisos amplios sobre la cuenta de la víctima. Incluido acceso al correo electrónico, almacenamiento en la nube y contactos.
Para las empresas, el riesgo de esta nueva técnica es especialmente relevante porque el correo electrónico sigue siendo uno de los principales canales de comunicación interna y externa. Y una cuenta comprometida puede exponer conversaciones sensibles, documentos, contactos y otros recursos corporativos.
Anteriormente, investigadores de Kaspersky habían detallado campañas de ToddyCat orientadas al robo de datos desde navegadores web. Así como desde servicios de correo electrónico locales y basados en la nube.
Producida por A24 y creada por Crab Caleb Kane. Protagonizada por Linda Cardellini Todos los…
El Ministerio del Medio Ambiente, Aceros AZA, ChileValora y Fundación Chile, a través del programa…
Las 200 becas cubren el 60% del valor de la matrícula y buscan ampliar el…
La nueva conmemoración, que se realizará cada 28 de julio, busca reconocer el aporte histórico,…
Muy pronto descubrirás el Xiaomi SkyNomad. El SUV que redefine el espacio y la movilidad…
Control de alto rendimiento para PC que ofrece un desempeño de nivel profesional para jugadores…