هل تريد نشرة يومية مجانية مخصصة؟ اختر فقط المواضيع التي تهمك ووفّر وقتك.

برمجية Umbrij تستهدف Gmail عبر OAuth وواجهات غوغل

ملخص للمقال
  • برمجية Umbrij تستهدف Gmail عبر OAuth وواجهات Google API كأداة تجسس جديدة تمنح المهاجمين وصولاً خفياً للبريد المؤسسي دون سرقة كلمة المرور مباشرة
  • تعتمد برمجية Umbrij على جلسة Gmail النشطة داخل المتصفح، وتشغّل Chromium بوضع headless مع Remote Debugging للحصول على رمز OAuth ثم Access Token صالح
  • خطورة برمجية Umbrij تكمن في استغلال OAuth 2.0 وواجهات غوغل للوصول إلى الرسائل والموارد المرتبطة بحساب Google بصمت وصعوبة اكتشاف مبكرة
  • رُصدت 3 نسخ من برمجية Umbrij، تشمل أدوات Debugging داخلية ووظائف تبحث عن الحسابات المسجلة في المتصفح وتختار حساب Gmail المستهدف تلقائياً
  • يتأثر المستخدمون خصوصاً داخل الشركات لأن أي جهاز مصاب ومفتوح عليه Gmail عبر Google Chrome أو Microsoft Edge قد يتحول لنقطة وصول كاملة للبريد
  • مقارنةً بهجمات سرقة كلمات المرور التقليدية، تركز برمجية Umbrij على خطف الجلسات والرموز، ما يرجح زيادة الهجمات المشابهة وتعزيز مراقبة OAuth مستقبلاً
هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا
برمجية Umbrij تستهدف Gmail عبر OAuth وواجهات غوغل
محتوى المقال
جاري التحميل...
برمجية Umbrij تستهدف Gmail

برمجية Umbrij ظهرت كأداة تجسس جديدة تستهدف Gmail عبر OAuth وواجهات Google API، ما يمنح المهاجمين وصولاً خفياً إلى البريد المؤسسي.

ما هي برمجية Umbrij ولماذا تستهدف Gmail؟

تكشف الحملة عن أسلوب هجوم يركز على حسابات Gmail المستخدمة داخل الشركات، مع استغلال الجلسات النشطة داخل المتصفح بدلاً من سرقة كلمة المرور مباشرة. هذا النهج يجعل الهجوم أكثر هدوءاً وأصعب في الاكتشاف مبكراً.

وبحسب التفاصيل التي تابعها تيكبامين، فإن المهاجمين سعوا إلى الحصول على رمز OAuth ثم تحويله إلى Access Token يسمح لهم بالوصول إلى رسائل البريد والموارد المرتبطة بحساب Google المستهدف.

كيف تنجح برمجية Umbrij في اختراق حسابات Gmail؟

الفكرة الأساسية تعتمد على تشغيل المتصفح في وضع headless، ثم الاتصال به عبر منفذ Remote Debugging للسيطرة على جلسة Gmail المفتوحة بالفعل. بعد ذلك تُرسل طلبات متتابعة للحصول على رمز التفويض ثم استبداله برمز وصول صالح.

ما الذي يجعل هذه الطريقة خطيرة؟

  • لا تحتاج إلى إدخال كلمة مرور الضحية من جديد.
  • تعتمد على جلسة Gmail النشطة داخل المتصفح.
  • تستفيد من بروتوكول OAuth 2.0 للوصول إلى البيانات عبر API.
  • تعمل على المتصفحات المبنية على Chromium مثل Google Chrome وMicrosoft Edge.

هذه التقنية تعني عملياً أن أي جهاز مصاب ومفتوح عليه Gmail قد يتحول إلى نقطة وصول كاملة للبريد الإلكتروني، حتى من دون تنبيه واضح للمستخدم.

ما النسخ التي تم رصدها من برمجية Umbrij؟

تم اكتشاف 3 نسخ مختلفة من الأداة الخبيثة، وبعضها يتضمن وظائف مساعدة لأغراض التصحيح والبحث عن حسابات المستخدمين داخل المتصفح ثم اختيار الحساب المطلوب تلقائياً.

  • نسخ مزودة بأدوات Debugging داخلية.
  • نسخ تبحث عن الحسابات المسجلة في المتصفح.
  • نسخ تدعم تحديد المتصفح المستهدف عبر سطر الأوامر.
  • قدرات لحفظ لقطة من ملف المستخدم بصيغة PDF.

كيف يتم تشغيلها على الجهاز؟

في سيناريو الرصد، استُخدمت مهمة مجدولة باسم يبدو شرعياً لتشغيل ملف موقّع رقمياً، ثم جرى استغلال أسلوب DLL Side-Loading لتحميل ملف Umbrij الخبيث المكتوب بلغة .NET والمموه بأداة ConfuserEx.

من يقف وراء الهجوم وما دلالاته الأمنية؟

الحملة نُسبت إلى مجموعة ToddyCat المعروفة بنشاطها ضد مؤسسات في أوروبا وآسيا منذ 2020 على الأقل. هذا الربط يرفع خطورة التهديد، لأننا لا نتحدث عن برمجية عشوائية بل عن أداة مرتبطة بجهة متقدمة في التجسس الرقمي.

كما يوضح هذا التطور أن واجهات Google API قد تتحول إلى مسار هجوم فعّال عندما تُستغل صلاحيات OAuth بصورة خبيثة، خصوصاً في البيئات المؤسسية التي تعتمد على Gmail في المراسلات اليومية.

كيف يمكن تقليل خطر برمجية Umbrij على الشركات؟

الحماية هنا لا تبدأ من البريد فقط، بل من المتصفح والجهاز ونظام المراقبة الداخلي. المؤسسات بحاجة إلى تقييد منافذ Remote Debugging، ومراجعة المهام المجدولة غير المعتادة، ومراقبة أي نشاط غير طبيعي لرموز OAuth.

  • مراجعة التطبيقات المصرح لها عبر Google OAuth.
  • تحديث Chrome وEdge بشكل مستمر.
  • مراقبة عمليات DLL Side-Loading داخل الشبكة.
  • فصل الجلسات النشطة عند الاشتباه بأي إصابة.

في النهاية، تمثل برمجية Umbrij مثالاً واضحاً على انتقال الهجمات من سرقة كلمات المرور إلى استغلال الجلسات والواجهات البرمجية، وهو اتجاه ترى تيكبامين أنه سيزداد خطورة خلال الفترة المقبلة.

التعليقات (1)


أضف تعليقك

عدد الأحرف: 0 يدعم: **نص غامق** *مائل* `كود` [رابط](url)

مقالات مرتبطة

الكلمات المفتاحية:

#برمجيات خبيثة #جيميل #غوغل

مقالات مقترحة

محتوى المقال
جاري التحميل...