Kaspersky araştırmacıları, ToddyCat adlı gelişmiş kalıcı tehdit (APT) grubuna atfedilen yeni bir zararlı yazılım olan Umbrij'i keşfetti. Bu yazılım, Google API üzerinden OAuth 2.0 protokolünü kullanarak kurbanların Gmail hesaplarına yetkisiz erişim sağlıyor. Saldırganlar, özellikle kurumsal e-posta iletişimlerini hedef alırken, API'ler aracılığıyla erişim ihlali gerçekleştiriyor. Umbrij, OAuth token'ını elde etmek için Chromium tabanlı tarayıcıları headless modda çalıştırıp uzaktan hata ayıklama bağlantı noktası üzerinden tarayıcı yönetim konsoluna bağlanıyor.
Umbrij'in çalışma prensibi, aktif bir Gmail oturumunu kullanarak OAuth yetkilendirme kodu elde etmek ve bu kodu Google API'ye erişim sağlayan bir erişim token'ına dönüştürmek üzerine kurulu. Kaspersky, bu tekniği 'Shadow Token via Remote Debug (STRD)' olarak adlandırdı. Saldırı, tarayıcının headless modda başlatılması, uzaktan hata ayıklama bağlantı noktasına bağlanarak kontrolün ele geçirilmesi ve halihazırda oturum açılmış bir Gmail hesabının kullanılmasıyla gerçekleşiyor. Bu yöntem, kullanıcının farkında olmadan hesabına tam erişim sağlanmasına olanak tanıyor.
Zararlı yazılımın üç farklı sürümü tespit edildi; bunlar arasında hata ayıklama ve tarayıcı içinde kullanıcı hesaplarını arayıp seçme işlevlerine sahip olanlar da bulunuyor. Umbrij, genellikle meşru yazılımların DLL yan yükleme (DLL side-loading) zafiyetini kullanarak çalıştırılıyor. Örneğin, Bitdefender ConnectAgent bileşeni BDSubWiz.exe, Microsoft Visual Studio test aracı VSTestVideoRecorder.exe veya eski Google Desktop Search uygulaması GoogleDesktop.exe gibi ikili dosyalar kullanılıyor. Bu dosyalar, zararlı Umbrij DLL'ini yükleyerek sisteme sızıyor.
Nasıl Önlem Alınmalı?
Umbrij, kurbanın Windows cihazında bir dizi hazırlık işlemi gerçekleştiriyor: hata ayıklama için kullanılacak bağlantı noktasının uygunluğunu kontrol ediyor, explorer.exe sürecini bularak kullanıcı bağlamını alıyor ve token'ını kopyalıyor. Ardından tarayıcı profil bilgilerini topluyor, 'BackupFiles' adlı bir yedekleme klasörü oluşturuyor ve profillere ait dosyaları (IndexedDB, Local Storage, Login Data vb.) bu klasöre kopyalıyor. Daha sonra tarayıcıyı headless modda başlatıp Puppeteer kullanarak Google hesabına OAuth yetkilendirme kodu talebi gönderiyor. Son olarak, JavaScript ile fare tıklama olaylarını simüle ederek gerekli izinleri alıyor ve Gmail, Drive, Kişiler, Takvim ve Görevler dahil olmak üzere tüm Google hizmetlerine tam erişim sağlıyor.