Ferramenta explora tokens OAuth para invadir contas Gmail corporativas
Pesquisadores da Kaspersky identificaram um novo toolkit malicioso, batizado de Umbrij, utilizado pelo grupo de cibercriminosos ToddyCat para invadir contas corporativas do Gmail sem precisar de senhas. A ferramenta se aproveita de tokens OAuth e de recursos de depuração remota em navegadores baseados em Chromium para acessar e-mails, calendários e outros serviços do Google de forma silenciosa e persistente.
O método utilizado foi descrito como Shadow Token via Remote Debug (STRD). Em termos simples, ele explora o fato de que, quando o usuário faz login no Gmail e não encerra a sessão, o navegador continua autenticado em segundo plano. O Umbrij inicia uma nova instância do navegador, conecta-se a ela por meio da porta de depuração e passa a enviar requisições diretamente às APIs do Google. Dessa forma, consegue operar como se fosse o próprio usuário, sem jamais solicitar credenciais ou acionar a autenticação tradicional.
Como a comunicação é feita através das APIs oficiais do Google, o tráfego aparenta ser legítimo e, em muitos casos, não desperta suspeita em soluções de segurança menos sofisticadas. Isso permite que o atacante se mantenha por longos períodos dentro da conta, vasculhando mensagens, copiando anexos, monitorando compromissos do calendário e coletando contatos sem levantar alertas imediatos.
Embora o Umbrij esteja atualmente focado em sistemas Windows, os pesquisadores destacam que o conceito é facilmente adaptável a outros sistemas operacionais. A ferramenta solicita permissões amplas, incluindo acesso completo ao Gmail, ao Google Drive, contatos e outros serviços associados à conta. Segundo Andrey Gun’kin, pesquisador da Kaspersky, o grande diferencial do Umbrij é a automação: ele consegue multiplicar o número de tentativas de invasão, permitindo ataques em larga escala com mínima intervenção manual dos operadores.
Do ponto de vista de segurança, o uso abusivo de tokens OAuth representa um desafio particular. Diferentemente de senhas, que podem ser alteradas, um token comprometido permite que o invasor continue acessando a conta mesmo após o usuário trocar a senha, até que a sessão seja explicitamente revogada. Isso torna o monitoramento e a gestão de sessões e autorizações um ponto crítico na defesa de contas corporativas.
Para reduzir o risco, a Kaspersky recomenda que as empresas monitorem ativamente a execução de navegadores com porta de depuração ativada, sobretudo em estações de trabalho que não são usadas para desenvolvimento de software. O uso desse recurso fora de ambientes de teste e desenvolvimento deve ser tratado como um indicador de anomalia e investigado com prioridade, já que é um dos pilares da técnica STRD.
Outra medida essencial é a auditoria frequente de aplicativos e serviços de terceiros com acesso a contas Google. Muitas organizações acumulam, ao longo do tempo, uma grande quantidade de integrações autorizadas via OAuth, frequentemente esquecidas. Revogar acessos desnecessários, revisar escopos de permissão e criar políticas para aprovação de novos aplicativos reduzem consideravelmente a superfície de ataque.
Sempre que possível, é aconselhável desabilitar ferramentas de desenvolvedor e recursos de depuração nos navegadores usados por funcionários que não dependem desses recursos em seu trabalho diário. Ao limitar o uso dessas funções apenas a times técnicos, a empresa dificulta a exploração do navegador como vetor de ataque e reduz o impacto de eventuais comprometimentos de estações de trabalho comuns.
A análise dos pesquisadores indica que o grupo ToddyCat continua investindo no aperfeiçoamento de suas táticas, demonstrando alta motivação e crescente sofisticação técnica. O surgimento do Umbrij reforça a necessidade de tratar tokens OAuth com o mesmo nível de criticidade dedicado às senhas, chaves de API e certificados, incorporando sua gestão à estratégia central de segurança da informação.
Para organizações que utilizam intensivamente o ecossistema Google, é importante ir além das recomendações básicas. A implementação de autenticação multifator robusta, combinada com políticas de acesso condicional (como restrição por localização, dispositivo ou horário de uso), pode limitar o potencial de exploração mesmo quando tokens legítimos são obtidos pelos invasores.
Outro ponto relevante é a visibilidade. Soluções de monitoramento de segurança devem ser configuradas para registrar e correlacionar eventos relacionados a sessões OAuth, criação e uso de tokens, alterações de permissões e atividades suspeitas em APIs do Google. Anomalias, como aumento súbito de acessos via API a partir de máquinas internas ou processos incomuns de navegador, podem indicar uso do Umbrij ou de ferramentas semelhantes.
Treinamento de usuários também é uma camada importante. Embora a técnica STRD não dependa diretamente de phishing clássico para coleta de senhas, muitos ataques desse tipo começam com o comprometimento inicial do dispositivo do usuário. Campanhas de conscientização que enfatizam o risco de instalar softwares desconhecidos, abrir anexos suspeitos ou permitir acesso remoto a suas máquinas continuam sendo fundamentais para quebrar a cadeia de ataque.
Do lado de governança, é recomendável que empresas estabeleçam políticas formais para o uso de contas Google corporativas, definindo quais integrações são permitidas, como será feito o processo de aprovação de novos aplicativos e com que periodicidade as autorizações existentes serão revisadas. Esse tipo de política ajuda a evitar que a organização perca o controle sobre quem ou o que está conectado às contas de e-mail de negócios.
Por fim, equipes de segurança devem considerar cenários em que o atacante não rouba credenciais, mas explora sessões já estabelecidas e tokens válidos, como fazem o Umbrij e outras ferramentas modernas. Testes de intrusão, simulações de ataque e exercícios de resposta a incidentes precisam contemplar esse tipo de ameaça, para que a empresa esteja preparada não apenas para evitar a invasão, mas também para detectar, conter e erradicar rapidamente qualquer comprometimento baseado em tokens.
O caso do Umbrij ilustra com clareza que o perímetro de segurança já não se limita às senhas ou à rede interna. Tokens OAuth, sessões de navegador e autorizações de aplicativos formam hoje uma nova fronteira de risco que, se negligenciada, abre caminho para invasões discretas, difíceis de detectar e potencialmente devastadoras para a operação das organizações.
