برمجية Umbrij ظهرت كأداة تجسس جديدة تستهدف Gmail عبر OAuth وواجهات Google API، ما يمنح المهاجمين وصولاً خفياً إلى البريد المؤسسي.
ما هي برمجية Umbrij ولماذا تستهدف Gmail؟
تكشف الحملة عن أسلوب هجوم يركز على حسابات Gmail المستخدمة داخل الشركات، مع استغلال الجلسات النشطة داخل المتصفح بدلاً من سرقة كلمة المرور مباشرة. هذا النهج يجعل الهجوم أكثر هدوءاً وأصعب في الاكتشاف مبكراً.
وبحسب التفاصيل التي تابعها تيكبامين، فإن المهاجمين سعوا إلى الحصول على رمز OAuth ثم تحويله إلى Access Token يسمح لهم بالوصول إلى رسائل البريد والموارد المرتبطة بحساب Google المستهدف.
كيف تنجح برمجية Umbrij في اختراق حسابات Gmail؟
الفكرة الأساسية تعتمد على تشغيل المتصفح في وضع headless، ثم الاتصال به عبر منفذ Remote Debugging للسيطرة على جلسة Gmail المفتوحة بالفعل. بعد ذلك تُرسل طلبات متتابعة للحصول على رمز التفويض ثم استبداله برمز وصول صالح.
ما الذي يجعل هذه الطريقة خطيرة؟
- لا تحتاج إلى إدخال كلمة مرور الضحية من جديد.
- تعتمد على جلسة Gmail النشطة داخل المتصفح.
- تستفيد من بروتوكول OAuth 2.0 للوصول إلى البيانات عبر API.
- تعمل على المتصفحات المبنية على Chromium مثل Google Chrome وMicrosoft Edge.
هذه التقنية تعني عملياً أن أي جهاز مصاب ومفتوح عليه Gmail قد يتحول إلى نقطة وصول كاملة للبريد الإلكتروني، حتى من دون تنبيه واضح للمستخدم.
ما النسخ التي تم رصدها من برمجية Umbrij؟
تم اكتشاف 3 نسخ مختلفة من الأداة الخبيثة، وبعضها يتضمن وظائف مساعدة لأغراض التصحيح والبحث عن حسابات المستخدمين داخل المتصفح ثم اختيار الحساب المطلوب تلقائياً.
- نسخ مزودة بأدوات Debugging داخلية.
- نسخ تبحث عن الحسابات المسجلة في المتصفح.
- نسخ تدعم تحديد المتصفح المستهدف عبر سطر الأوامر.
- قدرات لحفظ لقطة من ملف المستخدم بصيغة PDF.
كيف يتم تشغيلها على الجهاز؟
في سيناريو الرصد، استُخدمت مهمة مجدولة باسم يبدو شرعياً لتشغيل ملف موقّع رقمياً، ثم جرى استغلال أسلوب DLL Side-Loading لتحميل ملف Umbrij الخبيث المكتوب بلغة .NET والمموه بأداة ConfuserEx.
من يقف وراء الهجوم وما دلالاته الأمنية؟
الحملة نُسبت إلى مجموعة ToddyCat المعروفة بنشاطها ضد مؤسسات في أوروبا وآسيا منذ 2020 على الأقل. هذا الربط يرفع خطورة التهديد، لأننا لا نتحدث عن برمجية عشوائية بل عن أداة مرتبطة بجهة متقدمة في التجسس الرقمي.
كما يوضح هذا التطور أن واجهات Google API قد تتحول إلى مسار هجوم فعّال عندما تُستغل صلاحيات OAuth بصورة خبيثة، خصوصاً في البيئات المؤسسية التي تعتمد على Gmail في المراسلات اليومية.
كيف يمكن تقليل خطر برمجية Umbrij على الشركات؟
الحماية هنا لا تبدأ من البريد فقط، بل من المتصفح والجهاز ونظام المراقبة الداخلي. المؤسسات بحاجة إلى تقييد منافذ Remote Debugging، ومراجعة المهام المجدولة غير المعتادة، ومراقبة أي نشاط غير طبيعي لرموز OAuth.
- مراجعة التطبيقات المصرح لها عبر Google OAuth.
- تحديث Chrome وEdge بشكل مستمر.
- مراقبة عمليات DLL Side-Loading داخل الشبكة.
- فصل الجلسات النشطة عند الاشتباه بأي إصابة.
في النهاية، تمثل برمجية Umbrij مثالاً واضحاً على انتقال الهجمات من سرقة كلمات المرور إلى استغلال الجلسات والواجهات البرمجية، وهو اتجاه ترى تيكبامين أنه سيزداد خطورة خلال الفترة المقبلة.