۱۴۰۵/۰۴/۱۱🔑 The Hacker News
📖 5 دقیقه

تجزیه و تحلیل بدافزار Umbrij: تهدید جدید گروه ToddyCat برای دسترسی به ایمیل‌های Gmail از طریق OAuth

تحلیل بدافزار Umbrij از گروه ToddyCat که با سوءاستفاده از OAuth و دیباگ مرورگر به ایمیل‌های Gmail دسترسی پیدا می‌کند. روش‌های مقابله و راهکارهای امنیتی افتاچک.

منبع: The Hacker News

گروه تهدید پیشرفته (APT) معروف به ToddyCat با بدافزار جدیدی به نام Umbrij شناسایی شده است که برای دسترسی مخفیانه به مکاتبات ایمیل قربانیان از طریق API گوگل طراحی شده است.

🔍روش حمله: Shadow Token via Remote Debug (STRD)

مهاجمان با استفاده از Umbrij، توکن OAuth را از مرورگر قربانی استخراج کرده و با اتصال به پورت دیباگ مرورگر در حالت headless، به منابع ایمیل دسترسی پیدا می‌کنند. این تکنیک Shadow Token via Remote Debug (STRD) نامگذاری شده است. حمله بر روی مرورگرهای مبتنی بر Chromium (مانند Google Chrome و Microsoft Edge) کار می‌کند.

سه نسخه مختلف از Umbrij کشف شده است که شامل توابع کمکی برای دیباگ و جستجوی حساب‌های کاربری در مرورگر می‌باشد. این بدافزار به زبان .NET نوشته شده و با ConfuserEx مبهم‌سازی شده است.

برای مقابله، توصیه می‌شود مجوزهای اعطا شده به برنامه‌ها را در myaccount.google.com/connections بررسی کنید. به دنبال برنامه‌هایی با نام "Google Workspace Migration for Microsoft Outlook" یا "Google Workspace Sync for Microsoft Outlook" بگردید.

منبع این مقاله:The Hacker News

این مقاله توسط تیم افتاچک ترجمه و خلاصه‌سازی شده است.