Auf den Punkt: Umbrij nutzt Shadow-Token-Techniken über Browser-Debugging-Ports, um aktive Google-Sitzungen zu kapern und ohne erneute Authentifizierung auf weitere Dienste zuzugreifen.
Die APT-Gruppe ToddyCat setzt das neue Spionage-Tool Umbrij ein, um über Chromium-Browser und manipulierte Sitzungen unbefugten Zugriff auf Gmail-, Google-Cloud- und Kontakt-Ressourcen zu erlangen. Kaspersky hat das Windows-Schadprogramm erstmals dokumentiert.
Kaspersky hat ein bislang unbekanntes Werkzeug der APT-Gruppe ToddyCat analysiert, das den Namen Umbrij trägt. Die Schadsoftware richtet sich primär gegen Windows-Systeme und ermöglicht Angreifern den Zugriff auf Google-Konten, E-Mail-Archive, Cloud-Speicher und Kontaktlisten. Die zugrunde liegende Technik ist plattformübergreifend konzipiert.
Umbrij nutzt eine Methode namens Shadow Token via Remote Debug (STRD), die auf Chromium-basierte Browser abzielt. Das Tool startet eine Browserinstanz und erlangt über einen Debugging-Port die Kontrolle über eine bereits aktive, authentifizierte Gmail-Sitzung. Im Hintergrund werden Anfragen an Gmail gesendet, die die bestehende Sitzung ausnutzen. Dies ermöglicht es Angreifern, auf zusätzliche Google-Ressourcen zuzugreifen, ohne dass Anmeldedaten erneut eingegeben werden müssen. Das Tool kann zudem weitreichende Berechtigungen anfordern und interagiert automatisch mit Zustimmungsabfragen, indem es auf die Schaltfläche »Zulassen« klickt. So erhält Umbrij die erforderlichen Authentifizierungscodes für den Ressourcenzugriff. Die Aktivitäten über den Debugging-Port werden als legitime Prozesse getarnt.
Andrey Gunkin, Senior Malware Analyst bei Kaspersky, betont: »Wir beobachten ToddyCat seit Jahren und sehen kontinuierliche Verbesserungen ihrer Angriffstechniken. Unternehmen sollten wissen, dass Browser mit aktiviertem Debugging-Port für Standard-Nutzer außerhalb der Webentwicklung ungewöhnlich sind. Entsprechend sollten Entwicklertools in Chromium-Browsern für Nutzer deaktiviert werden, die diese nicht benötigen.«
Zur Risikominderung empfehlen Sicherheitsexperten die Beschränkung von Entwicklertools in Chromium-basierten Browsern auf Nutzer mit tatsächlichem Bedarf. Zusätzlich sollten Unternehmen umfassende Sicherheitslösungen mit Echtzeitschutz und Erkennungs- sowie Reaktionsfunktionen einsetzen. Security-Operations-Center sollten Zugriff auf aktuelle Bedrohungsdaten erhalten, um solche Angriffe frühzeitig zu identifizieren.
Quelle: www.it-daily.net · Erschienen 3. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.