De geavanceerde dreigingsactor ToddyCat heeft een nieuwe malware ontwikkeld, genaamd Umbrij, die is ontworpen om stiekem toegang te verkrijgen tot e-mailcorrespondentie van slachtoffers via de Google API. Volgens Kaspersky richt deze campagne zich specifiek op zakelijke e-mailcommunicatie die wordt gehost op Gmail, waarbij de toegang wordt verkregen via API’s.
De Google API maakt gebruik van het OAuth 2.0-protocol voor autorisatie, waardoor applicaties met een OAuth-token toegang kunnen krijgen tot de gevraagde e-mailbronnen. De aanvallers hebben Umbrij ontwikkeld om dit token te bemachtigen en via de managementconsole van de browser in headless mode verbinding te maken via een remote debugging-poort. Vervolgens wordt een reeks verzoeken uitgevoerd om een OAuth-autorisatiecode te verkrijgen, die wordt ingewisseld voor een toegangstoken om via de API toegang te krijgen tot de doelbronnen.
Deze techniek, door Kaspersky aangeduid als Shadow Token via Remote Debug (STRD), werkt op Chromium-gebaseerde browsers en maakt misbruik van een actieve Gmail-sessie. De browser wordt in headless mode gestart, waarna via de remote debugging-poort controle wordt overgenomen en een reeds ingelogde Gmail-sessie wordt benut om toegang te krijgen tot Google-accountbronnen.
Er zijn drie verschillende versies van Umbrij ontdekt, waaronder varianten met hulpfuncties voor debugging en het zoeken en selecteren van gebruikersaccounts binnen de browser. ToddyCat is een geavanceerde persistente dreiging (APT) die sinds ten minste 2020 diverse organisaties in Europa en Azië heeft aangevallen. In november 2025 rapporteerde Kaspersky dat deze groep een tool gebruikte, TCSectorCopy, om Microsoft Outlook e-maildata van doelwitten te stelen, wat eveneens door Kaspersky werd toegeschreven.
De ontdekking van Umbrij vond plaats tijdens een zogenoemde threat hunting-operatie, waarbij een geplande taak die zich voordeed als Kaspersky-software werd ingezet om een digitaal ondertekend bestand te starten. Dit bestand maakte gebruik van DLL side-loading om Umbrij te laden. Hiervoor werden drie legitieme binaries misbruikt die kwetsbaar zijn voor DLL side-loading: BDSubWiz.exe van Bitdefender ConnectAgent, VSTestVideoRecorder.exe van Microsoft Visual Studio en GoogleDesktop.exe, een verouderde Google Desktop Search-applicatie.
Ongeacht de gebruikte executable wordt de kwaadaardige Umbrij DLL geladen, geschreven in .NET en geobfusceerd met ConfuserEx. De tool kan worden aangestuurd met commandoregelparameters om te bepalen welke browsers (Google Chrome of Microsoft Edge) worden aangevallen, om een screenshot van het gebruikersprofiel als PDF op te slaan en om de systeemgebruikersnaam op te geven waaronder de tool draait.
Na activatie voert Umbrij diverse voorbereidende stappen uit op het geïnfecteerde Windows-systeem om de Gmail-account te compromitteren. Dit omvat het controleren van de beschikbaarheid van de debugging-poort, het verkrijgen van de gebruikerscontext door het dupliceren van het token van het eerste gevonden explorer.exe-proces om alle rechten van de ingelogde gebruiker te behouden, of het gebruik van een specifieke gebruikersnaam via een parameter. Vervolgens wordt het pad naar de browserapplicatiefolder binnen de lokale applicatiegegevens van de gebruiker opgebouwd en wordt het Local State-bestand van Chrome of Edge geanalyseerd om informatie over opgeslagen browsergebruikersprofielen te verzamelen.
Reacties
Geef een reactie
Vereiste velden zijn gemarkeerd met *