Хакерската група, известна като ToddyCat, беше свързана с нов зловреден софтуер, наречен Umbrij, който е създаден с цел таен достъп до имейл кореспонденцията на жертвите чрез Google API.

В тази кампания нападателите се фокусират върху корпоративни имейл комуникации, хоствани в Gmail, като се опитват да компрометират достъпа чрез API-та. Тъй като Google API разчита на протокола OAuth 2.0 за оторизация, приложенията могат да използват OAuth токен за достъп до заявените имейл ресурси.

Зловредният софтуер Umbrij придобива този токен и го използва за свързване към конзолата за управление на браузъра в скрит режим (headless mode) през отдалечен порт за дебъгване. Тази техника е наречена Shadow Token via Remote Debug (STRD) от руската компания за киберсигурност Kaspersky.

Атаката е приложима при браузъри, базирани на Chromium, и експлоатира активна Gmail сесия. Накратко, браузърът се стартира в скрит режим, осъществява се връзка през порта за дебъгване за поемане на контрол и се използва вече вписаната Gmail сесия за получаване на достъп до ресурсите на Google профила.

Открити са три различни версии на Umbrij, включително версии с помощни функции за дебъгване и за търсене и избор на потребителски профили в браузъра. ToddyCat е APT група (Advanced Persistent Threat), активна от поне 2020 г., насочена към организации в Европа и Азия.

За разгръщането на зловредния софтуер се използва планирана задача, имитираща легитимен софтуер, която стартира цифрово подписан файл. Този файл използва техниката DLL side-loading за зареждане на зловредната Umbrij DLL библиотека, написана на .NET и обфускирана с ConfuserEx.

След стартиране Umbrij извършва редица подготвителни действия на компрометирания Windows хост: проверява достъпността на порта за дебъгване, дублира токена на процеса explorer.exe за придобиване на потребителските привилегии, анализира профилите в Chrome или Edge, за да открие тези с активна връзка към Google услуги, копира ключови файлове от профила (бисквитки, локално хранилище и др.) в резервна папка и стартира браузъра в скрит режим с този профил, заобикаляйки двуфакторната автентификация чрез библиотека като Puppeteer.