Обнаружен новый метод взлома Gmail с доступом через API и сессии
Хакерская группировка ToddyCat использует новый способ взлома корпоративной почты в Gmail, который позволяет злоумышленникам долго сохранять доступ и оставаться незамеченными. Как пояснили обнаружившие его специалисты «Лаборатории Касперского», доступ к аккаунтам через API даёт возможность читать письма, а также получать данные из календаря и других сервисов Google.
Атака связана с механизмом OAuth, который применяется для подключения сторонних приложений к сервисам Google. Такой доступ обычно нужен, например, для синхронизации почты и календаря. Злоумышленники используют инструмент Umbrij, чтобы получить OAuth-токен и запрашивать разрешения к данным пользователя, в том числе к почте, облачному хранилищу и контактам. Инструмент используется в Windows, но может применяться и в других системах.
Кроме того, новая атака работает в браузерах на базе Chromium. Если пользователь не вышел из Gmail, браузер сохраняет активную сессию. Злоумышленники запускают браузер, подключаются к нему через отладочный порт и отправляют запросы к Gmail от имени пользователя. Ввод логина и пароля при этом не требуется.
Эксперты по кибербезопасности отмечают, что электронная почта остаётся ключевым каналом рабочей переписки, поэтому злоумышленники продолжают искать способы доступа к ней. Umbrij автоматизирует атаки на почтовые аккаунты, а также увеличивает их масштаб и частоту. Расширение инструментария указывает на развитие навыков группы ToddyCat.