كشفت شركة Kaspersky عن حملة تجسس إلكتروني جديدة تقف وراءها مجموعة ToddyCat، حيث طورت أداة خبيثة باسم Umbrij تهدف إلى الوصول السري إلى مراسلات البريد الإلكتروني عبر واجهة Google API. تعتمد التقنية على بروتوكول OAuth 2.0، الذي يسمح للتطبيقات باستخدام رمز وصول للوصول إلى موارد البريد الإلكتروني.
البرمجية تستغل جلسة Gmail نشطة على متصفحات مبنية على Chromium، حيث يتم تشغيل المتصفح في وضع “headless” والاتصال عبر منفذ التصحيح البعيد للتحكم فيه، ثم الحصول على رمز تفويض OAuth وتحويله إلى رمز وصول يمنح المهاجمين صلاحيات كاملة للوصول إلى البريد والملفات والجهات والمهام.
تفاصيل تقنية وأساليب التحايل
التحقيقات أظهرت أن Umbrij يتضمن ثلاث نسخ مختلفة، بعضها يحتوي على وظائف مساعدة للتصحيح والبحث عن حسابات المستخدمين داخل المتصفح.
- يتم تشغيل البرمجية عبر مهمة مجدولة تتنكر باسم “KasperskyEndpointSecurityEDRAvp”، وتستغل تقنية DLL Side-Loading باستخدام ملفات تنفيذية شرعية مثل BDSubWiz.exe (Bitdefender)، VSTestVideoRecorder.exe (Visual Studio)، وGoogleDesktop.exe.
- بعد التشغيل، تنفذ البرمجية سلسلة خطوات تشمل نسخ ملفات تعريف المستخدم من مجلدات Chrome وEdge، مثل IndexedDB وLocal Storage وLogin Data، ثم إعادة تشغيل المتصفح باستخدام هذه الملفات لتجاوز المصادقة.
- تستخدم البرمجية مكتبة Puppeteer للتحكم في المتصفح عبر بروتوكول DevTools، وتوجهه إلى رابط OAuth خاص بـ “Google Workspace Migration for Microsoft Outlook”، ثم تحاكي نقرات المستخدم لمنح الصلاحيات المطلوبة.
- يتم استخراج رمز التفويض وتسجيله في ملف، ثم يُستبدل برمز وصول يُستخدم لاحقًا لاختراق حساب Gmail عبر API.
خلفية عن مجموعة ToddyCat
مجموعة ToddyCat تُصنف كتهديد متقدم (APT) نشط منذ عام 2020، واستهدفت مؤسسات في أوروبا وآسيا. في نوفمبر 2025، وثقت Kaspersky استخدام المجموعة أداة مخصصة باسم TCSectorCopy لسرقة بيانات بريد Outlook. ظهور Umbrij يمثل تطورًا جديدًا في قدرات المجموعة، إذ يركز على استغلال بروتوكولات حديثة مثل OAuth للوصول إلى البريد المؤسسي.
إجراءات الحماية الموصى بها
الخبراء ينصحون المؤسسات بمراجعة التطبيقات المصرح لها عبر صفحة “myaccount.google[.]com/connections”، خصوصًا التطبيقات مثل “Google Workspace Migration for Microsoft Outlook” أو “Google Workspace Sync for Microsoft Outlook”. إذا لم تكن هذه التطبيقات مستخدمة فعليًا، يجب إلغاء صلاحياتها فورًا لتعطيل الرموز الممنوحة.
كما يُوصى بتعزيز مراقبة جلسات Gmail النشطة، وتقييد صلاحيات التطبيقات الخارجية، وتفعيل سياسات أمان متقدمة مثل المصادقة متعددة العوامل MFA، إضافة إلى مراجعة دورية لملفات تعريف المتصفح والرموز الممنوحة.































