Il malware è stato progettato per colpire gli utenti Windows, ma la tecnica potrebbe potenzialmente essere utilizzata anche su altri sistemi.

pericolo - errori fatali - sicurezza - hacker - ToddyCat pexels

Nell’ambito delle proprie attività proattive di ricerca sulle minacce, gli esperti di Kaspersky hanno individuato uno strumento finora sconosciuto utilizzato dal gruppo APT ToddyCat. In questa campagna, gli autori dell’attacco hanno preso di mira le comunicazioni aziendali delle vittime ospitate su Gmail, con l’obiettivo di ottenere un accesso non autorizzato agli account di posta elettronica tramite l’API del servizio. Il malware è stato progettato per colpire gli utenti Windows, ma la tecnica potrebbe potenzialmente essere utilizzata anche su altri sistemi.

Gli autori dell’attacco di ToddyCat hanno sviluppato un nuovo strumento, Umbrij, in grado di stabilire connessioni nascoste tramite una porta di debug, mascherando al contempo la propria attività come un processo legittimo. Questo approccio consente all’attore della minaccia di operare con un minor rischio di essere individuato e di mantenere l’accesso agli ambienti compromessi. La tecnica appena identificata, denominata Shadow Token via Remote Debug (STRD), interessa i browser basati su Chromium.

Dal punto di vista dell’utente, l’attacco sfrutta una sessione Gmail autenticata già esistente e ancora attiva nel browser. Se l’utente non ha effettuato il logout dal proprio account Gmail, il browser mantiene la relativa sessione di autenticazione. Sfruttando questa condizione, gli autori dell’attacco avviano un’istanza del browser, ne assumono il controllo tramite una porta di debug e inviano richieste a Gmail per ottenere l’accesso alle risorse dell’account Google nel contesto della sessione utente ancora attiva. In questo modo, possono abusare di una sessione già autenticata senza richiedere all’utente di reinserire le proprie credenziali.

Lo strumento è inoltre in grado di richiedere autorizzazioni estese, tra cui l’accesso completo alla posta elettronica, allo spazio di archiviazione cloud e ai contatti della vittima. Per completare la procedura di autorizzazione, Umbrij interagisce automaticamente con la finestra di richiesta del consenso e approva l’accesso cliccando sul pulsante “Consenti”, ottenendo così il codice di autenticazione necessario per accedere alle risorse prese di mira.

Monitoriamo l’attività di ToddyCat da diversi anni e continuiamo a osservare come il gruppo perfezioni costantemente sia i propri strumenti sia le proprie tecniche di attacco. In questa ultima ricerca abbiamo identificato un nuovo strumento, Umbrij, che dimostra ulteriormente gli sforzi dell’attore per potenziare le proprie capacità operative. Nel valutare i rischi associati a questo strumento, le aziende dovrebbero tenere presente che l’avvio di un browser con una porta di debug abilitata non rappresenta un’attività normale per la maggior parte degli utenti al di fuori dell’ambito dello sviluppo di applicazioni web. Come misura precauzionale, le organizzazioni potrebbero prendere in considerazione la disattivazione degli strumenti di sviluppo nei browser basati su Chromium per gli utenti che non ne hanno bisogno nello svolgimento delle proprie attività quotidiane. Questo può contribuire a mitigare il rischio rappresentato da questa tecnica e a invalidare l’accesso associato a token potenzialmente compromessi, ha affermato Andrey Gunkin, Senior Malware Analyst di Kaspersky.