techfromthenet
  • Home
  • Hardware
  • Mercato
    • Nomine
    • Accordi
    • Attualità
  • Mobile
    • Notebook
    • Smartphone
    • Tablet
  • Networking
  • Sicurezza
    • Software
    • Piattaforme
    • Analisi
  • Software
    • Produttività
    • Sistemi operativi
  • Storage
  • Cloud
  • test
  • Interviste
HomeSicurezzaNews analisiKaspersky: ToddyCat compromette gli account Gmail aziendali

Kaspersky: ToddyCat compromette gli account Gmail aziendali

“Monitoriamo l’attività di ToddyCat da diversi anni e continuiamo a osservare come il gruppo perfezioni costantemente sia i propri strumenti sia le proprie tecniche di attacco".

7 Luglio 2026 Redazione
account gmail

Gli esperti di Kaspersky hanno scoperto il malware ToddyCat: gli autori prendono di mira account Gmail aziendali sfruttando tecniche di attacco a basso impatto.

In questa campagna, gli autori dell’attacco hanno preso di mira le comunicazioni aziendali delle vittime ospitate su Gmail, con l’obiettivo di ottenere un accesso non autorizzato agli account di posta elettronica tramite l’API del servizio. Il malware è stato progettato per colpire gli utenti Windows, ma la tecnica potrebbe potenzialmente essere utilizzata anche su altri sistemi.

Connessioni nascoste tramite una porta di debug

Gli autori dell’attacco hanno sviluppato un nuovo strumento, Umbrij, in grado di stabilire connessioni nascoste tramite una porta di debug, mascherando al contempo la propria attività come un processo legittimo. Questo approccio consente all’attore della minaccia di operare con un minor rischio di essere individuato e di mantenere l’accesso agli ambienti compromessi. La tecnica appena identificata, denominata Shadow Token via Remote Debug (STRD), interessa i browser basati su Chromium.

Account Gmail sotto attacco

Dal punto di vista dell’utente, l’attacco sfrutta una sessione Gmail autenticata già esistente e ancora attiva nel browser. Se l’utente non ha effettuato il logout dal proprio account Gmail, il browser mantiene la relativa sessione di autenticazione. Sfruttando questa condizione, gli autori dell’attacco avviano un’istanza del browser, ne assumono il controllo tramite una porta di debug e inviano richieste a Gmail per ottenere l’accesso alle risorse dell’account Google nel contesto della sessione utente ancora attiva. In questo modo, possono abusare di una sessione già autenticata senza richiedere all’utente di reinserire le proprie credenziali.

Lo strumento è inoltre in grado di richiedere autorizzazioni estese, tra cui l’accesso completo alla posta elettronica, allo spazio di archiviazione cloud e ai contatti della vittima. Per completare la procedura di autorizzazione, Umbrij interagisce automaticamente con la finestra di richiesta del consenso e approva l’accesso cliccando sul pulsante “Consenti”, ottenendo così il codice di autenticazione necessario per accedere alle risorse prese di mira.

“Monitoriamo l’attività di ToddyCat da diversi anni e continuiamo a osservare come il gruppo perfezioni costantemente sia i propri strumenti sia le proprie tecniche di attacco. In questa ultima ricerca abbiamo identificato un nuovo strumento, Umbrij, che dimostra ulteriormente gli sforzi dell’attore per potenziare le proprie capacità operative.

Nel valutare i rischi associati a questo strumento, le aziende dovrebbero tenere presente che l’avvio di un browser con una porta di debug abilitata non rappresenta un’attività normale per la maggior parte degli utenti al di fuori dell’ambito dello sviluppo di applicazioni web. Come misura precauzionale, le organizzazioni potrebbero prendere in considerazione la disattivazione degli strumenti di sviluppo nei browser basati su Chromium per gli utenti che non ne hanno bisogno nello svolgimento delle proprie attività quotidiane. Questo può contribuire a mitigare il rischio rappresentato da questa tecnica e a invalidare l’accesso associato a token potenzialmente compromessi”,  ha affermato Andrey Gunkin, Senior Malware Analyst di Kaspersky.

Sottrazione di dati dai browser web

In precedenza, i ricercatori di Kaspersky avevano già descritto nel dettaglio le campagne condotte dal gruppo, finalizzate alla sottrazione di dati dai browser web e dai servizi di posta elettronica, sia on-premise sia basati su cloud.

Per garantire la sicurezza, gli esperti di Kaspersky raccomandano inoltre alle aziende di:

  • Utilizzare le soluzioni complete della linea di prodotti Kaspersky Next, che offrono protezione in tempo reale, visibilità sulle minacce e funzionalità di analisi e risposta tipiche delle soluzioni EPP, EDR e XDR. A seconda delle esigenze e delle risorse disponibili, è possibile scegliere la soluzione più adatta all’interno della gamma e passare facilmente a un’altra qualora i requisiti di sicurezza informatica dovessero cambiare.
  • Fornire ai professionisti della sicurezza informatica una visibilità approfondita sulle minacce che prendono di mira l’organizzazione. L’ultima versione di Kaspersky Threat Intelligence offre un contesto ricco e significativo lungo l’intero ciclo di gestione degli incidenti, aiutando a identificare tempestivamente i rischi informatici.
  • Qualora l’azienda non disponga di competenze specifiche in materia di sicurezza informatica, adottare i servizi di sicurezza gestiti di Kaspersky, come Compromise Assessment, Managed Detection and Response e/o Incident Response, che coprono l’intero ciclo di gestione degli incidenti, dall’identificazione delle minacce alla protezione continua fino alla risoluzione dei problemi.

Related Posts:

  • Giochi
    Giochi e App, l’ecosistema criminale e i moderni ladri
  • gestione del rischio qualys Qualys
    Qualys API Security riduce la superficie di attacco
  • Lazarus
    I cyberattacchi Lazarus colpiscono la Corea del Sud
  • investire nelle criptovalute
    Una campagna globale firmata Lazarus per rubare criptovalute
  • password Check Point Telegram distribuzione malware attacchi informatici
    Ad aprile crescono gli attacchi del malware Androxgh0st
  • Check Point e Intezer insieme per mappare l’APT in Russia
    Le principali minacce di marzo, ecco il borsino di…
  • account Gmail
  • aziende
  • compromissione
  • Home
  • posta elettronica
  • sicurezza
Avnet SilicaPrecedente

Avnet Silica nomina Maryannick Dauba nuova Presidente

Achilles Risk Screening mitigare i rischi della supply chainSuccessivo

Achilles Risk Screening: mitigare i rischi della supply chain

Ultimi articoli

pagamenti digitali

Pagamenti digitali e AI: sicurezza e fatturazione da Adyen

Robotics

Debutta LG Robotics Business Center a diretto riporto del CEO

hacker

Il gruppo hacker Gamaredon si concentra su obiettivi ucraini

ai open source

L’open source è la base di tutta la tecnologia moderna

Security Manager

Sicurezza distribuita con SonicWall Network Security Manager

Focus

imaging digitale

Imaging digitale: nuove sfide tra AI pervasiva e GPU

security sicurezza cybersecurity Linux

Resilienza e intelligenza artificiale: la frontiera della cybersecurity

videosorveglianza

Con l’AI la videosorveglianza è una sentinella proattiva

intelligenza artificiale

Dalla promessa alla realtà: come misurare il vero impatto dell’AI

Telemedicina

Telemedicina e intelligenza artificiale per curare i pazienti

Test

data center Asus

Micro data center per professionisti con ASUS e Asustor

router fritz

Router FRITZ!Box 6825 4G, l’ufficio sicuro in mobilità

Notebook ASUS Zenbook DUO

Notebook ASUS Zenbook DUO, due schermi sono meglio di uno

videosorveglianza

EnGenius ECC500, intelligenza evoluta e videosorveglianza 4K

data protection

QNAP Hyper Data Protection, sicurezza proattiva

SCOPRI IL MONDO QNAP

Sicurezza

hacker

Il gruppo hacker Gamaredon si concentra su obiettivi ucraini

Security Manager

Sicurezza distribuita con SonicWall Network Security Manager

secsolutionforum 2026 la security italiana è protagonista

secsolutionforum 2026: la security italiana è protagonista

Achilles Risk Screening mitigare i rischi della supply chain

Achilles Risk Screening: mitigare i rischi della supply chain

account gmail

Kaspersky: ToddyCat compromette gli account Gmail aziendali

  • Contatti
  • Redazione
  • Privacy Policy
  • Cookie Policy

Avalon Media srl, via Brioschi, 29 20842 Besana in Brianza. P.Iva: 08119820960