Kaspersky scopre Umbrij, il tool di ToddyCat contro gli account Gmail aziendali
Kaspersky scopre Umbrij, un nuovo strumento usato dal gruppo APT ToddyCat per colpire account Gmail aziendali. La tecnica sfrutta sessioni già attive nel browser, token OAuth e una porta di debug nei browser basati su Chromium. Il rischio è concreto soprattutto per le aziende, perché l’attacco può dare accesso a posta elettronica, contatti e spazio cloud senza chiedere di nuovo le credenziali alla vittima.
Kaspersky scopre Umbrij, nuovo strumento usato da ToddyCat
Kaspersky scopre Umbrij durante le proprie attività di ricerca sulle minacce informatiche. Lo strumento era finora sconosciuto ed è stato collegato a ToddyCat, gruppo APT già monitorato negli anni per campagne mirate alla sottrazione di dati da browser web e servizi di posta.
Questa volta il bersaglio sono le comunicazioni aziendali ospitate su Gmail. L’obiettivo degli attaccanti è ottenere accesso non autorizzato agli account tramite l’API del servizio, sfruttando una sessione già aperta nel browser della vittima.
Il malware è stato progettato per colpire utenti Windows, ma la tecnica non è vincolata solo a quel sistema. Il punto critico riguarda infatti il comportamento dei browser basati su Chromium, quindi il tema interessa molte realtà aziendali che usano Gmail o servizi Google per il lavoro quotidiano.
Umbrij sfrutta sessioni Gmail già attive
La parte più delicata dell’attacco è il modo in cui Umbrij lavora sulla sessione dell’utente. Se la vittima ha Gmail già aperto e non ha effettuato il logout, il browser mantiene attiva l’autenticazione.
Umbrij sfrutta questa condizione. Avvia un’istanza del browser, la controlla tramite una porta di debug e invia richieste a Gmail nel contesto della sessione già autenticata. L’utente non deve reinserire password, codici o credenziali: per l’attaccante è sufficiente abusare di ciò che è già attivo.
Questo rende l’attacco pericoloso nelle aziende, dove molte persone tengono aperte sessioni Gmail o Google Workspace per tutta la giornata. Non serve per forza un furto diretto della password per arrivare ai dati: basta aggirare la sessione già valida.
Kaspersky scopre Umbrij e la tecnica STRD
La tecnica individuata da Kaspersky viene chiamata Shadow Token via Remote Debug, abbreviata in STRD. Il nome descrive bene il comportamento dell’attacco: usare il debug remoto del browser per ottenere accesso ai token e alle risorse dell’account.
Umbrij stabilisce connessioni nascoste attraverso una porta di debug, mentre prova a mascherare la propria attività come un processo legittimo. Questo riduce la possibilità di essere notato e permette all’attore della minaccia di mantenere più a lungo l’accesso agli ambienti compromessi.
Per un utente normale, l’avvio di un browser con porta di debug attiva non rientra nell’uso quotidiano. È un comportamento più tipico degli sviluppatori web o di ambienti di test. Proprio per questo, in ambito aziendale, può diventare un segnale da monitorare con attenzione.
Il malware può chiedere permessi molto ampi
Umbrij non si limita a leggere la sessione Gmail. Lo strumento può richiedere autorizzazioni estese per accedere a più risorse dell’account Google della vittima.
Tra i permessi citati ci sono l’accesso completo alla posta elettronica, allo spazio di archiviazione cloud e ai contatti. Sono aree sensibili, perché dentro una casella aziendale possono passare documenti, credenziali temporanee, comunicazioni interne, contratti, allegati e informazioni riservate.
Il passaggio più preoccupante riguarda la finestra di consenso. Umbrij può interagire automaticamente con la richiesta di autorizzazione e cliccare sul pulsante “Consenti”, ottenendo così il codice di autenticazione necessario per accedere alle risorse prese di mira.
Per la vittima, tutto può avvenire senza un’interazione consapevole. Per l’azienda, invece, il problema diventa individuare un abuso che non passa dal classico furto di password.
Kaspersky scopre Umbrij: perché Gmail aziendale diventa un bersaglio prezioso
Gli account Gmail aziendali sono una miniera di informazioni. Non contengono solo email: spesso sono collegati a Drive, contatti, documenti condivisi, calendari, link interni e comunicazioni con clienti o fornitori.
Un accesso non autorizzato può quindi aprire diverse strade. L’attaccante può leggere conversazioni, cercare allegati, raccogliere indirizzi utili per nuove campagne, intercettare documenti cloud o preparare ulteriori attacchi mirati.
ToddyCat, in questo scenario, lavora con un approccio meno rumoroso rispetto a un attacco tradizionale. Invece di puntare solo sulle credenziali, sfrutta una sessione già valida e la trasforma in un punto d’ingresso verso l’account.
Per le aziende che usano Google Workspace, il tema non riguarda solo la protezione della password. Serve controllare sessioni, token, autorizzazioni, comportamenti del browser e attività anomale sugli account.
Browser Chromium e porta di debug: cosa devono controllare le aziende
Kaspersky suggerisce alle organizzazioni di prestare attenzione all’avvio dei browser con porta di debug abilitata. Fuori dai contesti di sviluppo, questo comportamento può essere sospetto.
Una misura concreta riguarda la disattivazione degli strumenti di sviluppo nei browser basati su Chromium per gli utenti che non ne hanno bisogno. Non tutti devono avere accesso a funzioni pensate per sviluppatori, soprattutto su postazioni aziendali usate per email, documenti e lavoro amministrativo.
Questo non blocca ogni possibile minaccia, ma riduce la superficie di attacco legata alla tecnica STRD. In più, aiuta a invalidare l’accesso associato a token potenzialmente compromessi.
La gestione dei permessi resta centrale. Un account aziendale non dovrebbe mantenere autorizzazioni non necessarie o connessioni sospette ad applicazioni e servizi esterni. Ogni token attivo è un possibile punto da controllare.
Le raccomandazioni di Kaspersky per la sicurezza aziendale
Per proteggersi da campagne di questo tipo, Kaspersky consiglia soluzioni capaci di offrire protezione in tempo reale, visibilità sulle minacce e strumenti di analisi e risposta. Il riferimento va alla linea Kaspersky Next, con funzionalità EPP, EDR e XDR.
Alle aziende serve anche una visibilità più profonda sugli attacchi mirati. Le informazioni di threat intelligence possono aiutare i team di sicurezza a capire meglio contesto, indicatori, tecniche e rischi collegati a gruppi APT come ToddyCat.
Dove mancano competenze interne dedicate, Kaspersky indica anche servizi gestiti come Compromise Assessment, Managed Detection and Response e Incident Response. Sono attività pensate per coprire l’intero ciclo dell’incidente: identificazione, monitoraggio, risposta e risoluzione.
Perché questa scoperta pesa per le aziende
La scoperta di Umbrij conferma un trend ormai evidente nella cybersecurity aziendale: gli attacchi non puntano solo a rubare password, ma cercano di sfruttare ciò che l’utente ha già autorizzato.
Sessioni aperte, token OAuth, browser sempre connessi e autorizzazioni concesse alle app diventano bersagli preziosi. Per questo proteggere Gmail aziendale non significa solo imporre password complesse o autenticazione a più fattori.
Servono controlli sulle sessioni attive, monitoraggio dei comportamenti anomali, revisione delle app autorizzate e regole più strette per browser e strumenti di sviluppo. Umbrij dimostra che anche una sessione già autenticata può diventare il punto debole dell’intera catena.
Gmail aziendale va protetto anche dopo il login
Il caso ToddyCat mette in chiaro un aspetto spesso sottovalutato: il rischio non finisce quando l’utente ha effettuato l’accesso in modo corretto. Una sessione Gmail aperta può essere abusata se il dispositivo è compromesso e se il browser viene controllato tramite funzioni pensate per altri scopi.
Per le aziende, la risposta passa da una gestione più rigorosa degli endpoint e dei browser. Limitare ciò che non serve, controllare i token, monitorare le attività insolite e preparare procedure di risposta riduce l’impatto di campagne mirate come questa.
Kaspersky scopre Umbrij e accende un campanello d’allarme preciso: la posta aziendale resta uno dei bersagli principali degli attacchi avanzati, anche quando le credenziali non vengono rubate nel modo più classico.