کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی بدافزار جدیدی با نام Umbrij خبر دادهاند که برای دسترسی مخفیانه به حسابهای Gmail سازمانی از طریق Google API طراحی شده است.
به گزارش کمیته رکن چهارم، این بدافزار که به گروه ToddyCat نسبت داده شده، با سوءاستفاده از نشست فعال Gmail در مرورگرهای مبتنی بر Chromium، کد مجوز OAuth را دریافت کرده و از آن برای دسترسی به ایمیلها و سایر اطلاعات حساب گوگل استفاده میکند.
در این حمله، بدافزار با استفاده از تکنیک DLL Side-Loading و اجرای مرورگر در حالت Headless، بدون نیاز به ورود مجدد کاربر، به حساب او دسترسی پیدا میکند. مهاجمان پس از دریافت توکن دسترسی، قادر به استفاده از سرویسهایی مانند Gmail، Google Drive، مخاطبان و تقویم خواهند بود.
کارشناسان امنیتی به سازمانها توصیه کردهاند مجوز برنامههای متصل به حسابهای Google را بررسی کرده و در صورت عدم استفاده، دسترسی ابزارهایی مانند Google Workspace Migration for Microsoft Outlook و Google Workspace Sync for Microsoft Outlook را لغو کنند تا توکنهای دسترسی بیاعتبار شوند.
منبع: The Hacker News



