ToddyCat-Linked Umbrij Malware Abuses OAuth to Access Gmail via Google API
Mis à jour :
Menace Umbrij : Le détournement d’OAuth pour infiltrer Gmail
Le groupe APT ToddyCat a été identifié comme l’auteur d’un nouveau malware nommé Umbrij, conçu pour accéder illicitement aux boîtes mail Gmail en abusant du protocole OAuth 2.0. Cette technique, baptisée STRD (Shadow Token via Remote Debug), permet aux attaquants de prendre le contrôle d’une session utilisateur active pour extraire des jetons d’accès via l’API Google.
Points clés
- Mode opératoire : Le malware exploite des outils légitimes via DLL side-loading (ex: BDSubWiz.exe, GoogleDesktop.exe) pour lancer des navigateurs (Chrome/Edge) en mode “headless” (sans interface).
- Technique STRD : En utilisant le débogage à distance, Umbrij automatise l’interaction avec le navigateur pour forcer l’octroi de permissions OAuth au nom de l’utilisateur.
- Détournement : L’outil simule une connexion via un outil de migration Google (ex: Google Workspace Migration for Microsoft Outlook) pour obtenir les accès complets aux emails, Drive, contacts et calendrier.
- Persistance : Le malware utilise des tâches planifiées frauduleuses et du code .NET obfusqué (ConfuserEx).
Vulnérabilités exploitées
- DLL Side-loading : Abus d’exécutables signés pour charger des bibliothèques malveillantes.
- Debug Remote Port : Utilisation des ports de débogage des navigateurs Chromium pour prendre le contrôle à distance de sessions authentifiées.
- Absence de CVE spécifique : Il s’agit d’un détournement de fonctionnalités légitimes de conception logicielle et de protocoles (OAuth) plutôt que de l’exploitation d’une faille logicielle répertoriée.
Recommandations
- Audit des accès : Vérifiez régulièrement les connexions autorisées sur le compte Google via myaccount.google.com/connections.
- Révocation : Supprimez immédiatement les accès aux applications suspectes ou inutilisées, en particulier “Google Workspace Migration for Microsoft Outlook” ou “Google Workspace Sync for Microsoft Outlook”.
- Sécurité des terminaux : Surveillez les tâches planifiées suspectes, limitez le DLL side-loading par des politiques EDR strictes et limitez l’accès aux ports de débogage des navigateurs dans les environnements professionnels.
