Sari la continut
miercuri, 15 iulie 2026
TechInfos.ro

Laboratorul stirilor tech

Cyber

Cum atacatorii ToddyCat îți spionează Gmail-ul cu noul malware Umbrij

Un nou malware, Umbrij, asociat grupului ToddyCat, fură accesul la Gmail prin abuzarea tokenurilor OAuth.

TI 5 iulie 2026 4 min read
Pe scurt
  • Un nou malware, Umbrij, asociat grupului ToddyCat, fură accesul la Gmail prin abuzarea tokenurilor OAuth.
Continua analiza

Specialiștii Kaspersky au descoperit un nou malware numit Umbrij, folosit de grupul de atacatori ToddyCat pentru a accesa fără autorizare e-mailurile corporative găzduite pe Gmail. Atacul se bazează pe abuzarea tokenurilor OAuth, permițând infractorilor să citească, să trimită și să șteargă mesaje fără a cunoaște parola victimei.

Ce este Umbrij și cum funcționează?

Umbrij este un malware specializat în interceptarea și deturnarea fluxurilor OAuth. Odată instalat pe un dispozitiv al victimei (de obicei printr-un fișier malițios sau un phishing țintit), acesta fură tokenurile de acces generate de Google API, folosindu-le pentru a se conecta la conturile Gmail. Tokenurile OAuth sunt concepute pentru a permite aplicațiilor terțe să acceseze datele utilizatorului fără a expune parola, dar Umbrij le capturează și le reutilizează pentru acces persistent, chiar și după ce victima se deconectează.

Conform raportului Kaspersky, atacatorii se concentrează pe e-mailurile corporative, vizând angajați din organizații mari. Prin accesul la corespondență, ei pot fura informații sensibile, pot iniția atacuri de tip business email compromise (BEC) sau pot escalada privilegii în alte sisteme.

Ținta și modul de operare al grupului ToddyCat

ToddyCat este un grup de amenințare persistentă avansată (APT) cunoscut pentru operațiuni de spionaj cibernetic. Până acum, grupul folosea în principal backdoor-uri și troieni, dar Umbrij reprezintă o evoluție spre abuzul de API-uri legitime. Atacurile încep de obicei cu un e-mail de phishing care conține un document sau un link infectat. După compromiterea inițială, Umbrij este descărcat și executat silențios, furând tokenurile OAuth stocate de browser sau de aplicațiile conectate la Google.

Kaspersky subliniază că Umbrij este greu de detectat deoarece folosește certificate și API-uri oficiale Google, iar traficul său este criptat. Odată obținut accesul, atacatorii pot acționa în numele victimei fără a genera alerte de securitate obișnuite.

Cum te poți proteja

Pentru a preveni astfel de atacuri, specialiștii recomandă revocarea tokenurilor OAuth suspecte din setările contului Google (Securitate > Aplicații și site-uri terțe). De asemenea, activarea autentificării multifactor (MFA) adaugă un strat suplimentar de protecție, deși Umbrij poate ocoli MFA dacă tokenul este furat după autentificare. Monitorizarea periodică a permisiunilor aplicațiilor conectate este esențială.

Pentru organizații, se recomandă utilizarea unor soluții de securitate endpoint care detectează comportamente anormale, precum și implementarea politicilor de acces condiționat care limitează utilizarea tokenurilor OAuth în afara rețelei corporative.

Ce înseamnă pentru tine

Chiar dacă acest atac vizează în primul rând medii corporative, orice utilizator de Gmail poate fi ținta unor variante viitoare. Iată câteva măsuri practice:

  • Verifică periodic permisiunile aplicațiilor în setările contului Google și revocă orice aplicație pe care nu o recunoști sau nu o mai folosești.
  • Activează autentificarea multifactor – deși nu este infailibilă, reduce riscul de compromitere a contului.
  • Fii atent la e-mailurile de phishing chiar și atunci când par să vină de la colegi sau parteneri de încredere; nu deschide atașamente sau linkuri suspecte.

Surse

Ai ajuns la final
Tech Brief

Cele mai importante stiri tech, intr-un format scurt.

Primeste sinteza zilnica AI, cyber si gadgeturi direct in inbox.