Kaspersky advirtió sobre una nueva técnica utilizada por el grupo de ciberespionaje APT ToddyCat que permite obtener acceso no autorizado a cuentas corporativas de Gmail sin necesidad de robar directamente las credenciales de los usuarios. El ataque aprovecha sesiones activas en navegadores basados en Chromium para solicitar permisos sobre recursos de Google como correos electrónicos, almacenamiento en la nube y contactos.
La investigación identificó un método denominado Shadow Token via Remote Debug (STRD), que explota el hecho de que muchos usuarios mantienen abierta su sesión de Gmail en el navegador. En esos casos, el navegador conserva un token de autenticación que permite acceder a la cuenta sin volver a ingresar la contraseña, el cual puede ser aprovechado por los atacantes.
Para llevar a cabo el ataque, ToddyCat utiliza un malware llamado Umbrij, capaz de establecer una conexión mediante la interfaz de depuración remota de Chromium, una herramienta destinada originalmente a desarrolladores. A través de este mecanismo, el malware puede enviar solicitudes a la API de Gmail como si provinieran de una sesión legítima ya autenticada e, incluso, aprobar automáticamente las solicitudes de permisos para acceder al correo, Google Drive y la libreta de contactos.
Recomendaciones de Kaspersky
Para reducir el riesgo de este tipo de ataques, Kaspersky recomienda:
- Cerrar las sesiones de Gmail cuando no estén en uso y revisar periódicamente los accesos activos.
- Restringir funciones avanzadas de los navegadores, como las herramientas de desarrollador, cuando no sean necesarias.
- Implementar soluciones de detección y respuesta que permitan identificar comportamientos anómalos antes de que escalen.
- Complementar la protección con servicios de inteligencia de amenazas, monitoreo e investigación de incidentes para fortalecer la seguridad de los entornos corporativos.
