SAFE. Guía para proteger tu vida digital y tu privacidad

2 jul 2026

El malware Umbrij abusa de OAuth para acceder a Gmail a través de la API de Google.

El grupo de ciberdelincuentes conocido como ToddyCat ha sido atribuido a un nuevo malware llamado Umbrij, diseñado para obtener acceso subrepticio al GMail de las víctimas a través de la API de Google.

"En esta campaña, los atacantes centraron su atención en las comunicaciones de correo electrónico corporativas alojadas en Gmail, con el objetivo de comprometer el acceso a través de las API", afirmó Kaspersky en un informe detallado publicado esta semana. "Dado que la API de Google se basa en el protocolo OAuth 2.0 para la autorización, las aplicaciones pueden usar un token OAuth para acceder a los recursos de correo electrónico solicitados".

Se cree que el atacante desarrolló Umbrij para obtener este token y usarlo para conectarse a la consola de administración del navegador en modo sin interfaz gráfica (headless mode) a través de un puerto de depuración remota.

Posteriormente, se emitieron varias solicitudes para obtener un código de autorización OAuth, que luego se intercambió por un token de acceso para acceder a los recursos objetivo a través de la API. Esta técnica ha sido denominada "Shadow Token via Remote Debug" (STRD) por el proveedor ruso de ciberseguridad.

Lo más destacable de este ataque es que funciona en navegadores basados ​​en Chromium y aprovecha una sesión activa de Gmail. En otras palabras, la idea es ejecutar el navegador en modo sin interfaz gráfica, conectarse a través del puerto de depuración remota para tomar el control y utilizar una sesión de Gmail ya iniciada para acceder a los recursos de la cuenta de Google.

Se han descubierto tres versiones diferentes de Umbrij, incluyendo versiones con funciones auxiliares para la depuración y para buscar y seleccionar cuentas de usuario dentro del navegador.

ToddyCat es el nombre asignado a una amenaza persistente avanzada (APT) que ha atacado a diversas organizaciones en Europa y Asia desde al menos 2020. En noviembre de 2025, Kaspersky detalló el uso que hizo el grupo de una herramienta personalizada llamada TCSectorCopy para obtener datos de correo electrónico de Microsoft Outlook pertenecientes a las empresas objetivo.

La empresa de ciberseguridad declaró haber descubierto Umbrij durante una operación de búsqueda de amenazas, en la que se utilizó una tarea programada que suplantaba la identidad de su software ("KasperskyEndpointSecurityEDRAvp") para ejecutar un archivo firmado digitalmente. Este archivo, a su vez, ejecutó Umbrij mediante la carga lateral de DLL.

Para lograrlo, se aprovecharon tres binarios legítimos vulnerables a la carga lateral de DLL:

  • BDSubWiz.exe, un componente del Asistente de Envío de Bitdefender ConnectAgent;
  • VSTestVideoRecorder.exe, un componente de la herramienta de grabación de vídeo utilizada para realizar pruebas con Microsoft Visual Studio;
  • GoogleDesktop.exe, una aplicación de búsqueda de escritorio de Google ya descontinuada que se utilizaba para indexar archivos y realizar búsquedas rápidas en un equipo Windows local.

Independientemente del ejecutable utilizado, el resultado final es el mismo: la ejecución de la DLL maliciosa de Umbrij, escrita en .NET y ofuscada con ConfuserEx, un ofuscador de código abierto. La herramienta también puede ejecutarse mediante parámetros de línea de comandos que especifican los navegadores a los que dirigirse (Google Chrome o Microsoft Edge), le indican que guarde una captura de pantalla del perfil de usuario como archivo PDF y proporcionan el nombre de usuario del sistema con el que se ejecutará la herramienta.

Umbrij, al igual que la mayoría de las herramientas del conjunto de herramientas de ToddyCat, registra sus acciones en detalle y las guarda en un archivo. También guarda el código de autorización recuperado en este archivo de registro, que el operador posteriormente extrae del host comprometido."

"El código de autorización obtenido se intercambia por un token de acceso OAuth. Los ciberdelincuentes utilizan ese token para conectarse a la cuenta de Gmail a través de la API, comprometiendo así las comunicaciones de correo electrónico corporativas."

Para contrarrestar la amenaza, se recomienda revisar los códigos de autorización otorgados a las aplicaciones accediendo a "myaccount.google[.]com/connections" y buscando aplicaciones llamadas "Google Workspace Migration for Microsoft Outlook" o "Google Workspace Sync for Microsoft Outlook". Si alguna de estas aplicaciones está presente y no se utiliza en la organización, es fundamental revocar su acceso para invalidar los tokens OAuth.

"El grupo APT ToddyCat continúa buscando formas de comprometer las comunicaciones de correo electrónico corporativas", afirmó Andrey Gunkin, analista sénior de malware en Kaspersky. Su nueva herramienta, Umbrij, automatiza los intentos de los atacantes por acceder a las cuentas de correo electrónico de las organizaciones. Esta automatización no solo contribuye a aumentar la escala y la frecuencia de sus ataques, sino que también demuestra la gran motivación y las avanzadas habilidades técnicas de ToddyCat.

Fuente: THN



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!