Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

RSS-Hydro gana un importante premio en los Benelux Enterprise Awards por su innovación geoespacial

El malware Umbrij vinculado a ToddyCat explota OAuth para acceder a Gmail a través de la API de Google

Identity Lifecycle Management Wasn’t Built for AI Agents 

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»El malware Umbrij vinculado a ToddyCat explota OAuth para acceder a Gmail a través de la API de Google
Identidad

El malware Umbrij vinculado a ToddyCat explota OAuth para acceder a Gmail a través de la API de Google

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 2, 2026No hay comentarios6 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Rabi Lakshmanan2 de julio de 2026Seguridad API/Ciberespionaje

Se cree que el atacante, conocido como ToddyCat, es responsable de un nuevo malware llamado Umbrij que está diseñado para acceder secretamente a las comunicaciones por correo electrónico de las víctimas a través de las API de Google.

«En este ataque, los atacantes se centraron en las comunicaciones de correo electrónico corporativas alojadas en Gmail y buscaron comprometer el acceso a través de una API», dijo Kaspersky Lab en un informe detallado publicado esta semana. «Las API de Google se basan en el protocolo OAuth 2.0 para la autenticación, por lo que su aplicación puede utilizar tokens OAuth para acceder a los recursos de correo electrónico solicitados».

Los atacantes supuestamente desarrollaron Umbrij para capturar este token y usarlo para conectarse a la consola administrativa del navegador en modo sin cabeza a través del puerto de depuración remota.

Luego se emitieron una serie de solicitudes para obtener un código de autorización OAuth, que se intercambió por un token de acceso para llegar al recurso de destino a través de la API. Los proveedores rusos de ciberseguridad denominan a la tecnología «Shadow Token via Remote Debug (STRD)».

Lo notable de este ataque es que puede ejecutarse en navegadores basados ​​en Chromium y aprovecha una sesión activa de Gmail. La idea es iniciar el navegador en modo sin cabeza, conectarse a través del puerto de depuración remota y tomar el control, aprovechando la sesión de Gmail ya iniciada para obtener acceso a los recursos de la cuenta de Google.

Se han descubierto tres versiones diferentes de Umbrij, incluida una con funciones auxiliares para depurar en el navegador y buscar y seleccionar cuentas de usuario.

ToddyCat es el nombre asignado a una amenaza persistente avanzada (APT) con un historial de atacar a varias organizaciones en Europa y Asia desde al menos 2020. En noviembre de 2025, Kaspersky detalló que el grupo de piratas informáticos utilizó una herramienta personalizada llamada TCSectorCopy para obtener datos de correo electrónico de Microsoft Outlook pertenecientes a las empresas objetivo.

La compañía de ciberseguridad dijo que descubrió a Umbrij durante lo que llamó una «operación de búsqueda de amenazas», como parte de la cual se utilizó una tarea programada que se hacía pasar por su software («KasperskyEndpointSecurityEDRAvp») para lanzar archivos firmados digitalmente. Luego, el archivo firmado inició Umbrij mediante la descarga de DLL.

Para realizar esta tarea, se explotaron tres archivos binarios legítimos susceptibles a la descarga de DLL.

BDSubWiz.exe, un componente del asistente de envío de Bitdefender ConnectAgent VSTestVideoRecorder.exe, un componente de la herramienta de grabación de vídeo utilizada para pruebas en Microsoft Visual Studio GoogleDesktop.exe, la aplicación de búsqueda obsoleta de Google Desktop utilizada para indexar archivos y realizar búsquedas rápidas en ordenadores Windows locales

Independientemente del ejecutable utilizado, el resultado final es el mismo. Lanza una DLL Umbrij maliciosa escrita en .NET y ofuscada con ConfuserEx, una herramienta de ofuscación de código abierto. La herramienta también se puede iniciar con parámetros de línea de comando que especifican el navegador de destino (Google Chrome o Microsoft Edge), le indican que guarde una captura de pantalla del perfil del usuario como un archivo PDF y especifican el nombre de usuario del sistema bajo el cual se ejecutará la herramienta.

Diagrama de flujo de trabajo de Umbrizi

Una vez iniciado, Umbrij realiza una serie de acciones preparatorias para comprometer cuentas de Gmail en hosts de Windows comprometidos.

Asegúrese de que el puerto especificado para la depuración del navegador esté disponible. Para preservar todos los privilegios del usuario que ha iniciado sesión, obtenemos el contexto del usuario buscando el proceso «explorer.exe» y clonando el token del primer proceso encontrado. Alternativamente, puede usar el modificador -user con la herramienta para especificar los usuarios de destino cuyos tokens deben clonarse. Crea una ruta a la carpeta de la aplicación del navegador web en el repositorio de datos de la aplicación local del usuario y analiza el archivo de estado local correspondiente a Chrome o Edge para recopilar información sobre el perfil de usuario del navegador almacenado. Enumere todos los perfiles y busque un campo llamado «nombre_usuario» que contenga una dirección de correo electrónico. Tenga en cuenta que la presencia de una dirección de correo electrónico indica que el usuario está autenticado en los servicios de Google. Cree un directorio llamado «BackupFiles» dentro de «%LOCALAPPDATA%\Google\Chrome\» y «%LOCALAPPDATA%\Microsoft\Edge\». Copie los siguientes archivos y carpetas para cada perfil de usuario de destino: IndexedDB, almacenamiento local, red, datos de inicio de sesión, datos de inicio de sesión de cuenta, preferencias, preferencias seguras y datos web. Si estos archivos están bloqueados por otros procesos, la herramienta incluye un mecanismo de copia forzada. Ubique las carpetas de instalación de los navegadores Chrome y Edge en las carpetas Archivos de programa y Archivos de programa (x86). Cuando inicia el navegador en modo sin cabeza con un perfil de usuario copiado en la carpeta «BackupFiles», el navegador aplica todas las cookies del usuario activo, incluida la cuenta de Google que ha iniciado sesión, y omite la autenticación. Usamos Puppeteer, una biblioteca de JavaScript utilizada para controlar los navegadores basados ​​en Chromium a través del protocolo Chrome DevTools, para conectarnos al puerto de depuración remota y enviar una solicitud de código de autorización que dirige el navegador a la URL «accounts.google(.)com/o/oauth2/v2/auth/identifier». Esta URL incluye un «client_id» que corresponde a la herramienta de migración utilizada para importar archivos y datos PST locales desde su cuenta de Microsoft Exchange a Google Workspace. cuenta. La solicitud HTTP GET también especifica un conjunto de permisos requeridos por la aplicación. Utilice JavaScript para emular un evento de clic del mouse, navegar a una URL, seleccionar la cuenta de Google adecuada y otorgarle los permisos necesarios, incluido acceso completo a Gmail, Drive, Contactos, Calendario y Tareas. Redirige la sesión del navegador a la dirección local especificada en la solicitud inicial y extrae el código de autorización OAuth desde allí.

«Umbrij, como la mayoría de las herramientas de ToddyCat, registra sus acciones en detalle y las guarda en archivos», dijo Kaspersky. «El código de autorización obtenido también se almacena en este archivo de registro, que luego el operador extrae del host comprometido».

«El código de autorización obtenido se intercambia por un token de acceso OAuth, que el atacante utiliza para conectarse a la cuenta de Gmail a través de la API y comprometer las comunicaciones corporativas por correo electrónico».

Para combatir esta amenaza, recomendamos ir a «myaccount.google(.)com/connections» y buscar una aplicación llamada «Google Workspace Migration for Microsoft Outlook» o «Google Workspace Sync for Microsoft Outlook» para verificar el código de autorización otorgado a la aplicación. Si alguna de estas aplicaciones existe y no se utiliza activamente dentro de su organización, es importante revocar su acceso e invalidar sus tokens OAuth.

«El grupo ToddyCat APT continúa encontrando formas de comprometer las comunicaciones corporativas por correo electrónico», afirmó Andrei Gankin, analista senior de malware de Kaspersky Lab. «Su nueva herramienta, Umbrij, automatiza los intentos de los atacantes de acceder a las cuentas de correo electrónico de una organización. Esta automatización no sólo ayuda a aumentar la escala y la frecuencia de los ataques, sino que también demuestra la fuerte motivación y las habilidades técnicas avanzadas de ToddyCat».


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleIdentity Lifecycle Management Wasn’t Built for AI Agents 
Next Article RSS-Hydro gana un importante premio en los Benelux Enterprise Awards por su innovación geoespacial
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Identity Lifecycle Management Wasn’t Built for AI Agents 

julio 2, 2026

El agente de IA explota Langflow RCE para automatizar los ataques de ransomware a bases de datos

julio 2, 2026

Robo de credenciales de FortiBleed asociado con operaciones de INC y Lynx Ransomware

julio 2, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

RSS-Hydro gana un importante premio en los Benelux Enterprise Awards por su innovación geoespacial

El malware Umbrij vinculado a ToddyCat explota OAuth para acceder a Gmail a través de la API de Google

Identity Lifecycle Management Wasn’t Built for AI Agents 

El DOE otorga 75 millones de dólares para acelerar la recuperación de minerales críticos de las reservas de carbón

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.