گروه تهدید پیشرفته (APT) معروف به ToddyCat با بدافزار جدیدی به نام Umbrij شناسایی شده است که برای دسترسی مخفیانه به مکاتبات ایمیل قربانیان از طریق API گوگل طراحی شده است.
🔍روش حمله: Shadow Token via Remote Debug (STRD)
مهاجمان با استفاده از Umbrij، توکن OAuth را از مرورگر قربانی استخراج کرده و با اتصال به پورت دیباگ مرورگر در حالت headless، به منابع ایمیل دسترسی پیدا میکنند. این تکنیک Shadow Token via Remote Debug (STRD) نامگذاری شده است. حمله بر روی مرورگرهای مبتنی بر Chromium (مانند Google Chrome و Microsoft Edge) کار میکند.
سه نسخه مختلف از Umbrij کشف شده است که شامل توابع کمکی برای دیباگ و جستجوی حسابهای کاربری در مرورگر میباشد. این بدافزار به زبان .NET نوشته شده و با ConfuserEx مبهمسازی شده است.
برای مقابله، توصیه میشود مجوزهای اعطا شده به برنامهها را در myaccount.google.com/connections بررسی کنید. به دنبال برنامههایی با نام "Google Workspace Migration for Microsoft Outlook" یا "Google Workspace Sync for Microsoft Outlook" بگردید.
منبع این مقاله:The Hacker News
این مقاله توسط تیم افتاچک ترجمه و خلاصهسازی شده است.