Kaspersky сообщила о краже токенов Gmail через Chromium

Источник изображения: ChatGPT

«Лаборатория Касперского» обнаружила у группировки ToddyCat инструмент Umbrij, который нацелен на корпоративные аккаунты Gmail. Схема не требует ввода логина и пароля: атакующие используют уже открытую сессию Google в браузере и запрашивают OAuth-токен с доступом к почте, календарю, контактам и Google Drive. Для компании это хуже обычной кражи пароля, потому что доступ к переписке может оставаться незаметным дольше.

По описанию исследователей, Umbrij работает в браузерах на базе Chromium. Если сотрудник не вышел из аккаунта Google, злоумышленники подключаются к браузеру через отладочный порт, используют сохранённую сессию и получают токен через API Google. Такой токен даёт широкий набор прав и позволяет читать письма, выгружать файлы, просматривать календарь и контакты без повторной аутентификации.

Практический смысл такой атаки в автоматизации. Вместо точечной компрометации одного ящика злоумышленники могут быстро проверять рабочие машины на наличие активной Google-сессии и забирать доступ к данным без фишинговой формы и перехвата пароля. Для защитных средств это тоже неприятный сценарий: запрос идёт через легитимные механизмы OAuth, а не через явный взлом учётной записи.

Касперский рекомендует компаниям проверять, какие сторонние сервисы и приложения подключены к рабочим Google-аккаунтам, и отслеживать запуск браузера с открытым портом отладки. Для рядового сотрудника такой режим нетипичен, а в корпоративной среде он может быть отдельным индикатором компрометации. Стоит ограничивать локальные права пользователей и жёстче контролировать расширения и параметры запуска Chromium-браузеров.

Метод с удалённой отладкой браузера не нов. В 2024 году Microsoft предупреждала, что инфостилеры начали обходить защиту Chrome App-Bound Encryption именно через режим remote debugging, получая доступ к cookies и сессионным данным. Теперь тот же подход добрался до Google Workspace, которым, по данным Google, пользуются более 10 млн платящих организаций. Для корпоративной почты это означает рост атак не на пароль, а на уже действующую браузерную сессию.

Сергей Кузнецов

Главный редактор itzine.ru и технический журналист с 15-летним стажем. Специализируется на глубоком тестировании аудиооборудования, фототехники и потребительской электроники. Автор более 5000 материалов, охватывающих широкий спектр тем: от обзоров игровых кресел и сетевого оборудования до аналитики рынка смартфонов и носимых гаджетов. На платформе курирует экспертные разделы и формирует редакционную политику издания.