🕵️ ПЗ Umbrij від ToddyCat компрометує Gmail через OAuth
Виявлено нове шкідливе ПЗ Umbrij, яке використовується кібершпигунським угрупованням ToddyCat для таємного доступу до корпоративної пошти Gmail через Google API. Зловмисники запускають Chromium-браузери у фоні без графічного інтерфейсу через порт віддаленого налагодження. Використовуючи вже активну сесію авторизованого користувача, ПЗ імітує кліки миші, запитує авторизаційний код OAuth та обмінює його на постійний токен доступу.
Для закріплення в системі Umbrij застосовує метод DLL side-loading через легітимні бінарні файли Bitdefender, Visual Studio або Google Desktop. Троян копіює папки профілів Chrome і Edge у тимчасові каталоги для обходу блокувань процесів та дублює токени процесу explorer.exe для збереження прав користувача. Усі отримані OAuth-коди записуються у файл логів, який згодом передається на сервери керування хакерів для повного доступу до Gmail, Drive та Календаря.
