// 1 CRITICAL · 2 ZERO-DAY · 3 CVE · 4 EXPLOIT NELLE ULTIME 24H
Il malware Umbrij automatizza il furto di token OAuth 2.0 via Chrome DevTools Protocol, bypassando password e MFA su Gmail aziendale.

Il gruppo APT ToddyCat, attivo dal 2020 contro obiettivi in Europa e Asia, ha introdotto un nuovo malware chiamato Umbrij. Kaspersky l'ha scoperto durante un'operazione di threat hunting proattiva. Umbrij automatizza il furto di token OAuth 2.0 per Gmail sfruttando la porta di debug remoto di browser Chromium in modalità headless, bypassando completamente autenticazione basata su password e MFA.

Punti chiave
  • Umbrij è una DLL .NET offuscata con ConfuserEx che implementa la tecnica STRD (Shadow Token via Remote Debug) per rubare token OAuth 2.0.
  • Il malware abusa di browser Chromium tramite Chrome DevTools Protocol, automatizzando il flusso OAuth con Puppeteer Sharp in sessioni già autenticate.
  • 3 eseguibili legittimi firmati vengono usati per DLL sideloading: BDSubWiz.exe (Bitdefender), VSTestVideoRecorder.exe (Visual Studio) e GoogleDesktop.exe.
  • La richiesta OAuth impersona le applicazioni Google Workspace Migration o Sync for Microsoft Outlook, richiedendo permessi completi su Gmail, Drive, Contacts, Calendar e Tasks.

Da TCSectorCopy a Umbrij: l'evoluzione del mirino sui servizi mail

ToddyCat ha una storia documentata di furto di comunicazioni aziendali. In campagne precedenti ha usato strumenti come TCSectorCopy per sottrarre file OST locali da Microsoft Outlook e tecniche di token theft per compromettere account Microsoft 365. Con Umbrij il gruppo sposta il focus su Gmail, sfruttando un vettore che non richiede né credenziali né accesso fisico ai dispositivi di archiviazione mail.

La transizione è significativa: da un'attività di raccolta passiva di dati locali a un'interazione attiva con le API Google. Secondo quanto riportato da The Hacker News citando Kaspersky, "in questa campagna gli attaccanti hanno concentrato la loro attenzione sulle comunicazioni email aziendali ospitate su Gmail, mirando alla compromissione dell'accesso via API". Il passaggio da Outlook a Gmail, e da furto di file locali a abuso di protocolli web, segnala una risposta agli spostamenti del mercato e alle difese più robuste sui endpoint Windows.

Come funziona STRD: l'abuso del Chrome DevTools Protocol

La tecnica Shadow Token via Remote Debug (STRD) sfrutta una funzionalità legittima di Chromium: la porta di debug remoto attivabile via --remote-debugging-port. Umbrij copia i profili browser dell'utente — inclusi IndexedDB, Local Storage, Network, Login Data, Preferences, Secure Preferences e Web Data — in directory denominate BackupFiles. Quindi instaura una connessione al browser headless e usa Puppeteer Sharp per automatizzare il flusso OAuth 2.0.

Il flusso tecnico è documentato nei dettagli: il malware invia una richiesta a accounts.google.com/o/oauth2/v2/auth/identifier usando un client_id associato a Google Workspace Migration for Microsoft Outlook (GWMMO) o Google Workspace Sync for Microsoft Outlook (GWSMO). Emerge un redirect verso localhost, dall'URL del quale viene estratto il codice di autorizzazione. Questo viene scambiato per un access token con permessi completi su Gmail e altri servizi Google Workspace.

Il dossier non specifica se il client_id sia stato registrato legittimamente dai threat actor o repurposed da altre applicazioni. Non emergono sovrapposizioni infrastrutturali che colleghino Umbrij a varianti per browser non-Chromium nello stato attuale.

Persistenza e occultamento: il task schedulato contraffatto

Umbrij ottiene persistenza tramite un task schedulato che si maschera come prodotto Kaspersky: il nome utilizzato è KasperskyEndpointSecurityEDRAvp. Questo task lancia un file firmato che a sua volta carica via DLL sideloading il payload malevolo. I 3 eseguibili legittimi identificati nel report di Kaspersky sono BDSubWiz.exe (firmato Bitdefender), VSTestVideoRecorder.exe (Visual Studio) e GoogleDesktop.exe.

Il meccanismo di impersonazione include anche la duplicazione dei token di explorer.exe per assumere i privilegi dell'utente interattivo. 3 varianti di Umbrij (a, b, c) sono state identificate, con funzioni helper diverse per operazioni di debug e selezione account.

"Il gruppo APT ToddyCat continua a cercare modi per compromettere le comunicazioni email aziendali... Il loro nuovo strumento, Umbrij, automatizza i tentativi degli attaccanti di ottenere l'accesso agli account email organizzativi. Questa automazione non solo aiuta ad aumentare la scala e la frequenza dei loro attacchi, ma dimostra anche la forte motivazione e le avanzate capacità tecniche di ToddyCat." — Andrey Gunkin, senior malware analyst at Kaspersky, via The Hacker News

Cosa fare adesso

Le organizzazioni che usano Gmail e Google Workspace possono adottare misure specifiche contro la tecnica STRD:

Disabilitare la porta di debug remoto sui browser enterprise. La flag --remote-debugging-port di Chromium deve essere bloccata via policy aziendale su tutti i endpoint non di sviluppo. Gli strumenti di asset inventory devono segnalare come anomala qualsiasi istanza di Chrome o Edge con debug remoto attivo in produzione.

Monitorare le applicazioni OAuth con scope ampi su Gmail. Gli amministratori Google Workspace devono controllare le autorizzazioni concesse a "Google Workspace Migration for Microsoft Outlook" e "Google Workspace Sync for Microsoft Outlook", verificando che il client_id corrisponda a quello ufficiale Google. Revocare immediatamente i token sospetti.

Ispezire i task schedulati per nomi contraffatti. La presenza di task denominati KasperskyEndpointSecurityEDRAvp che eseguono BDSubWiz.exe, VSTestVideoRecorder.exe o GoogleDesktop.exe è indicatore di compromissione. Questi eseguibili legittimi non devono risiedere in percorsi non standard né caricare DLL esterne.

Controllare la directory BackupFiles nei profili browser. Umbrij copia i dati dei profili in cartelle con questo nome specifico. La loro presenza segnala attività di esfiltrazione dei dati di sessione.

Perché è importante

Il caso Umbrij illustra una tensione strutturale delle difese enterprise. Chrome DevTools Protocol, Puppeteer, le API Google Workspace e le applicazioni di migrazione email sono componenti legittime, spesso approvate a livello organizzativo. Il loro abuso rende l'attacco particolarmente insidioso: l'attività generata — browser headless con remote debugging port, richieste OAuth con scope standard, connessioni a API Google — si somiglia a operazioni amministrativa-autorizzate o di sviluppo.

L'automazione del flusso OAuth via Puppeteer Sharp introduce inoltre una scalabilità che mancava nelle tecniche manuali di token theft. Dove TCSectorCopy richiedeva accesso al filesystem locale e un'estrazione successiva, Umbrij può operare in cicli ripetuti su più sessioni, più account, più tenant Google Workspace, con un footprint di rete che ricollega all'infrastruttura legittima di Google.

Per le organizzazioni che usano Gmail/Google Workspace, la linea di difesa tradizionale basata su EDR e monitoraggio delle credenziali mostra qui un punto cieco. L'attacco non ruba password né aggira MFA nel senso classico: utilizza sessioni già autenticate attraverso un protocollo di autorizzazione esplicitamente progettato per terze parti. La distinzione tra "applicazione di migrazione autorizzata" e "applicazione di migrazione abusata" diventa operativa, non dichiarativa.

Resta aperto il quadro della risposta: il dossier non indica se Google abbia preso provvedimenti sui client_id coinvolti, né se esistano indicatori di compromissione specifici oltre la presenza di browser headless con porta di debug su endpoint non di sviluppo.

Fonti

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. thehackernews.com
  2. gbhackers.com
  3. securelist.com
  4. welivesecurity.com
  5. thehackernews.uk