TexnoX-in baxışı (Deep Insight)
Önəmli Detallar
- Umbrij başsız Chromium istifadə edərək OAuth axınlarından səlahiyyət kodlarını çıxarmağa çalışır.
- Metod istifadəçinin parolunu ələ keçirmədən üçüncü tərəf girişinə bənzər icazə modelini sui-istifadə edir.
- Təhdidin əsas hədəfi Gmail olsa da, yanaşma e-poçt və bulud hesablarına yönələn daha geniş giriş riskini göstərir.
Ətraflı Məqalə
ToddyCat ilə əlaqələndirilən Umbrij malware-i Gmail hesablarına giriş əldə etmək üçün OAuth mexanizmlərini hədəfə alır. Kaspersky-nin araşdırmasına əsasən, zərərli proqram başsız Chromium mühitindən istifadə edərək səlahiyyət kodlarını toplayır. Bu, hücumun parol oğurlamadan icazə zəncirini pozmağa yönəldiyini göstərir.
Bu yanaşma ona görə əhəmiyyətlidir ki, OAuth çoxsaylı xidmətlərdə üçüncü tərəf proqramlara etibarlı giriş vermək üçün standart mexanizm kimi istifadə olunur. Hücumçular bu axını istismar etdikdə, ənənəvi parol mərkəzli müdafiələr yetərli olmaya bilər. Nəticədə təhlükə təkcə istifadəçi poçtu ilə məhdudlaşmır, həm də həmin hesabla bağlı tətbiq və bulud inteqrasiyalarına qədər genişlənə bilər.
Mənbədə qeyd olunan model, təhlükəsizlik komandaları üçün girişin idarə olunması və avtorizasiya axınlarının monitorinqini daha vacib edir. Xüsusilə üçüncü tərəf tətbiqləri, brauzer sessiyaları və OAuth əsaslı icazələr üzərində görünürlük zəifdirsə, belə hücumların aşkar edilməsi gecikə bilər. Bu da enterprise mühitində hesabların ələ keçirilməsi riskini artırır.
ToddyCat-ın bu üsulu istifadə etməsi, hücumçuların artıq yalnız ilkin komprometasiya deyil, etibarlı avtorizasiya proseslərinin özünü hədəflədiyini göstərir. Bu, e-poçt təhlükəsizliyi ilə kimlik idarəetməsi arasındakı sərhədi daha da bulanıqlaşdırır və təşkilatları təkcə parol siyasətinə deyil, icazə nəzarətinə də fokuslanmağa məcbur edir.