>
▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

: Lascia il tuo voto agli Italian Security Awards 2026

ToddyCat aggira l'EDR e automatizza il furto delle email

Il gruppo APT ha messo a punto uno strumento che sottrae i token OAuth dal browser per entrare nelle caselle cloud senza farsi rilevare dai sistemi di difesa.

ToddyCat aggira l'EDR e automatizza il furto delle email
Tecnologie/Scenari

Un nuovo strumento chiamato Umbrij automatizza l'intera compromissione delle caselle Gmail aziendali sottraendo i token di autorizzazione OAuth. La tecnica, battezzata Shadow Token via Remote Debug (STRD), sfrutta la porta di debug remoto dei browser basati su Chromium e consente agli attaccanti di restare invisibili ai sistemi di monitoraggio. A documentarlo è un'analisi di Kaspersky dedicata al gruppo APT ToddyCat.

ToddyCat è un noto APT che inizialmente sfruttava un nuovo malware per colpire bersagli in Europa, poi ha evoluto il proprio arsenale fino ad usare strumenti sempre più sofisticati e ad abusare di una vulnerabilità in un antivirus per mascherare l'attività malevola. La costante, in questi anni, è la fedeltà ad alcune tecniche di base, l’impiego del DLL sideloading e lo sfruttamento delle attività pianificate per introdurre di nascosto le utility. Le procedure usate fino a oggi tuttavia avevano il limite di venire intercettate con efficacia dalle soluzioni EPP ed EDR. Da qui la ricerca di una strada alternativa, culminata nello sviluppo di Umbrij e nello spostamento del bersaglio verso Gmail e le API di Google, con una sequenza d'attacco interamente automatizzata e capace di sfuggire ai sistemi di monitoraggio.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

Lo strumento è emerso durante un'attività proattiva di threat hunting, quando i ricercatori hanno notato un'attività pianificata su un endpoint che avviava un file firmato digitalmente. Il nome dell'attività imitava quello di un componente EDR di Kaspersky (un espediente pensato per confondersi con i processi legittimi della macchina). Ricostruendo la catena, gli analisti hanno capito che quel file aveva lo scopo di procurarsi un token di autorizzazione OAuth valido. Infatti, le API di Google si appoggiano al protocollo OAuth 2.0 per l'autorizzazione, pertanto un'applicazione dotata di quel token può raggiungere le risorse di posta richieste.

La catena di attacco

Sul piano tecnico, Umbrij consiste in una libreria.NET offuscata, di cui l'analisi ha individuato tre versioni con funzioni accessorie differenti. Umbrij accetta parametri da riga di comando che ne rendono l'uso molto flessibile. Consente di selezionare il browser bersaglio (Chrome, Edge o entrambi), di scegliere la porta di debug, di agganciare un profilo specifico per colpire un account preciso. Alcune versioni gestiscono anche gli account di dominio e sanno salvare in PDF un'istantanea del profilo utente, utile agli operatori per verificare a colpo d'occhio la situazione della vittima.

Una volta in esecuzione, Umbrij verifica la disponibilità della porta destinata al debug scorrendo le connessioni di rete attive, poi recupera il contesto dell'utente duplicando il token del processo explorer.exe e conservandone tutti i privilegi, con una tecnica di manipolazione dei token di accesso catalogata nel framework MITRE ATT&CK. Si tratta dello stesso meccanismo di impersonificazione già visto in passato. In presenza di più utenti collegati alla macchina, un parametro permette di indicare quale token duplicare, mentre un'altra opzione consente di operare direttamente nel contesto dell'utente corrente.

A quel punto lo strumento ricostruisce il percorso della cartella del browser nei dati locali dell'utente e individua i profili autenticati a un servizio Google. Di ciascun profilo copia in una cartella di appoggio i file più importanti, i database di archiviazione locale lato client, i file di rete e di sessione, quello con le password salvate, quello con le credenziali degli account sincronizzati, le preferenze e i dati di compilazione automatica. Fra le funzioni figura quella per la copia forzata dei file bloccati da altri processi.

A questo punto gli attaccanti sono in possesso del profilo utente duplicato. Umbrij avvia il browser in modalità headless, apre una porta di debug remoto e vi carica i dati copiati. Se la vittima non ha effettuato il logout dal proprio account, i siti con credenziali salvate non richiedano una nuova autenticazione e la sessione autenticata sarà sfruttabile.

Stabilita la connessione, Umbrij indirizza il browser verso l'endpoint di autorizzazione OAuth di Google impersonando l'applicazione legittima Google Workspace Migration for Microsoft Outlook, con la possibilità di assumere l'identità di Google Workspace Sync for Microsoft Outlook attraverso un apposito parametro. L’unico neo di questa parte dell’attacco è anche, rispetto alle applicazioni autentiche, la richiesta omette il parametro di protezione PKCE e altri controlli come lo stato e il suggerimento di login. Inoltre, i permessi richiesti sono molto più ampi di quelli originali e includono l'accesso completo alla posta, allo spazio di archiviazione su Drive, ai contatti, al calendario, alle attività e alla directory degli utenti.

Il browser viene poi reindirizzato verso l'indirizzo locale e Umbrij estrae dalla richiesta il codice di autorizzazione, che salva nei propri log insieme al dettaglio di ogni operazione. Come gli altri strumenti del gruppo, la libreria tiene una traccia minuziosa delle proprie azioni, che l'operatore recupera poi dalla macchina compromessa. Il codice viene scambiato con un token di accesso, con cui gli attaccanti si collegano alla casella Gmail tramite le API e leggono la corrispondenza aziendale.

L'intera operazione avviene in un'istanza di browser in background, che registra la cronologia in una cartella separata. Per gestire gli imprevisti lo strumento salva in PDF la pagina in cui il processo si fosse eventualmente interrotto per un errore, in modo da consentire agli operatori di capire cosa non ha funzionato.

Il salto di qualità consiste nel fatto che l'intera sequenza che porta dal punto d'appoggio iniziale al furto del token è ora orchestrata da un unico strumento, capace di aumentare la portata e la frequenza degli attacchi rimanendo sotto la soglia di rilevamento. Secondo i ricercatori questo passo avanti conferma la determinazione e le competenze tecniche del gruppo, che continua ad aggiornare il proprio arsenale senza stravolgere il modo di operare.

Una difesa efficace

Sul fronte difensivo, Kaspersky ha pubblicato regole di rilevamento dedicate. Il primo elemento da monitorare è il caricamento anomalo di librerie da parte dei tre eseguibili legittimi sfruttati per il sideloading, riconducibili a Bitdefender ConnectAgent, Visual Studio e Google Desktop Search. Il secondo è l'avvio di un browser Chromium con i parametri di debug remoto e la modalità headless, un comportamento che su una postazione ordinaria, estranea allo sviluppo o al test di applicazioni web, è di per sé sospetto. Per le utenze che non svolgono attività di questo tipo è possibile disattivare del tutto gli strumenti per sviluppatori del browser tramite un'apposita policy aziendale.

Sul versante degli account, conviene poi passare in rassegna le applicazioni di terze parti collegate al proprio profilo Google e revocare l'accesso a Google Workspace Migration e Google Workspace Sync for Microsoft Outlook qualora non risultino effettivamente in uso, così da invalidare gli eventuali token compromessi. Resta valida anche l'indicazione più semplice e più efficace: ricordare agli utenti di uscire esplicitamente dall'account Google al termine di ogni sessione, perché è proprio la sessione lasciata aperta a rendere praticabile l'intera catena descritta da Kaspersky.

Tag correlati

Esplora altri articoli su questi argomenti

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

>
www.securityopenlab.it - 8.5.0 - 4.6.4