O malware Umbrij representa uma evolução preocupante nas campanhas de ciberespionagem contra empresas. Em vez de tentar descobrir senhas ou contornar a autenticação multifator, essa ameaça busca um alvo muito mais valioso: os tokens de autenticação OAuth, capazes de conceder acesso contínuo às contas corporativas do Gmail, Google Drive e outros serviços do Google Workspace.
Descoberto pela Kaspersky durante a investigação de uma campanha atribuída ao grupo ToddyCat, o malware utiliza uma técnica sofisticada chamada Shadow Token via Remote Debug (STRD). O método combina o roubo de perfis dos navegadores Google Chrome e Microsoft Edge, automação do navegador em modo invisível e abuso da infraestrutura legítima do Google para obter acesso persistente às contas das vítimas.
Neste artigo, você entenderá como funciona o malware Umbrij, por que essa técnica representa uma mudança importante no cenário das ameaças digitais e quais medidas podem ser adotadas para reduzir significativamente o risco desse tipo de ataque em ambientes corporativos.
O que é o malware Umbrij e quem está por trás dele
O malware Umbrij é uma ferramenta de pós-exploração desenvolvida para obter acesso persistente a contas do Google Workspace utilizando mecanismos legítimos de autenticação.
Segundo a Kaspersky, a ameaça foi identificada em operações atribuídas ao grupo ToddyCat, um conhecido grupo de APT (Advanced Persistent Threat) ativo desde 2020 e associado a campanhas de espionagem altamente direcionadas contra governos, empresas e organizações estratégicas.
Ao longo dos últimos anos, o ToddyCat ficou conhecido por desenvolver ferramentas próprias, explorar vulnerabilidades pouco conhecidas e investir em técnicas que dificultam a detecção pelos sistemas tradicionais de segurança.
O diferencial do malware Umbrij é justamente abandonar o modelo clássico de roubo de credenciais para concentrar seus esforços na captura de tokens OAuth, permitindo que os invasores utilizem APIs oficiais do Google sem precisar realizar novos logins.
Essa abordagem reduz significativamente as chances de disparar alertas tradicionais de autenticação suspeita, tornando o ataque muito mais furtivo.

Como funciona o ataque Shadow Token via Remote Debug (STRD)
A técnica Shadow Token via Remote Debug (STRD) explora recursos legítimos dos navegadores baseados em Chromium para obter tokens de autenticação de maneira praticamente invisível ao usuário.
Em vez de quebrar mecanismos de segurança, os criminosos aproveitam sessões já autenticadas no navegador comprometido.
A invasão inicial e o roubo de perfis do navegador
Antes de executar o ataque principal, o invasor precisa comprometer o computador da vítima.
Segundo a análise da Kaspersky, isso ocorre utilizando a técnica de DLL side-loading, na qual aplicativos legítimos carregam uma biblioteca maliciosa sem perceber.
Para aumentar a credibilidade da operação, os atacantes utilizam executáveis autênticos de softwares conhecidos, incluindo componentes do Bitdefender, do Visual Studio e até versões antigas do Google Desktop.
Esses programas executam uma biblioteca em .NET cuidadosamente modificada e protegida com ConfuserEx, dificultando sua análise por pesquisadores e ferramentas de segurança.
Depois que o código é executado, o malware localiza os perfis do Google Chrome e do Microsoft Edge, copiando cookies, configurações e demais arquivos necessários para reproduzir a sessão autenticada da vítima.
Esse passo é essencial para a fase seguinte do ataque.
Abuso do modo headless do Chromium e automação com Puppeteer
Após copiar o perfil do navegador, o malware Umbrij inicia uma nova instância do Chrome ou Edge utilizando o modo headless, que executa o navegador sem exibir qualquer janela ao usuário.
Na sequência, o malware utiliza o Puppeteer, biblioteca oficial de automação baseada no protocolo Chrome DevTools, para controlar completamente essa sessão invisível.
Com os cookies previamente roubados, o navegador já inicia autenticado.
Em vez de acessar diretamente o Gmail, o malware simula o comportamento de uma ferramenta legítima de migração do Google Workspace, solicitando permissões por meio do fluxo oficial do OAuth 2.0.
Durante esse processo, o Puppeteer realiza automaticamente os cliques necessários para conceder autorização ao aplicativo falso.
Na prática, toda a interação acontece sem que o usuário veja qualquer janela aberta.
Ao final da operação, o malware obtém um token OAuth válido, permitindo acesso contínuo aos serviços da conta comprometida.
Essa técnica recebeu o nome de Shadow Token via Remote Debug (STRD) justamente porque utiliza recursos de depuração remota do navegador para manipular uma sessão já autenticada sem exigir novas credenciais.
O perigo da persistência de acesso às contas do Google
O maior risco do malware Umbrij não está apenas na obtenção inicial do acesso.
O verdadeiro problema é a persistência.
Com um token OAuth válido, os invasores conseguem utilizar diretamente as APIs oficiais do Google para acessar diversos serviços corporativos.
Isso inclui:
- Gmail, para leitura e envio de mensagens.
- Google Drive, para copiar documentos confidenciais.
- Google Agenda, permitindo acompanhar reuniões e compromissos estratégicos.
- Outros recursos disponíveis dentro do ambiente do Google Workspace.
Como todo esse acesso ocorre utilizando mecanismos oficiais de autenticação, muitas soluções tradicionais de segurança não identificam comportamento anormal.
Na prática, não há tentativa de login suspeita, senha incorreta ou autenticação multifator sendo burlada.
O invasor simplesmente utiliza um token previamente autorizado.
Esse modelo de ataque demonstra uma tendência crescente no cenário da segurança digital: proteger apenas as senhas já não é suficiente.
Hoje, sessões autenticadas, cookies e tokens OAuth passaram a ser ativos extremamente valiosos para grupos especializados em espionagem.
Como se proteger e mitigar a ameaça do malware Umbrij
Embora a técnica seja sofisticada, existem medidas capazes de reduzir significativamente a superfície de ataque.
O primeiro passo é revisar regularmente todos os aplicativos conectados ao ambiente do Google Workspace.
Administradores devem verificar cuidadosamente ferramentas autorizadas recentemente, especialmente aquelas com nomes semelhantes aos utilizados pelo malware, como falsas aplicações de migração do Google.
Sempre que houver qualquer dúvida sobre a legitimidade do aplicativo, o ideal é realizar imediatamente a revogação do token OAuth correspondente.
Também é recomendável monitorar continuamente novas concessões de permissões administrativas e restringir o uso de aplicativos de terceiros apenas aos realmente necessários.
Outra prática importante consiste em proteger os endpoints contra técnicas de DLL side-loading.
Soluções modernas de EDR (Endpoint Detection and Response) conseguem identificar comportamentos incomuns envolvendo carregamento de bibliotecas, execução de processos automatizados e acesso indevido aos perfis dos navegadores.
Da mesma forma, manter Google Chrome, Microsoft Edge, sistema operacional e soluções de segurança sempre atualizados reduz significativamente a exposição a vetores de comprometimento inicial.
Treinamentos periódicos com equipes de TI e usuários também continuam sendo fundamentais.
Mesmo sendo uma ameaça altamente técnica, ataques direcionados normalmente começam por algum vetor inicial, como phishing, exploração de vulnerabilidades ou comprometimento de estações de trabalho.
Por fim, administradores devem realizar auditorias frequentes nos tokens ativos, nas permissões concedidas aos aplicativos conectados e nos registros de acesso do ambiente corporativo.
Esse tipo de revisão pode identificar atividades suspeitas antes que os atacantes consigam manter acesso prolongado às informações da organização.
O surgimento do malware Umbrij mostra que o foco dos criminosos evoluiu. Em vez de atacar diretamente senhas, eles passaram a explorar elementos de autenticação já confiáveis pelo sistema, como cookies, sessões autenticadas e tokens OAuth 2.0. A técnica Shadow Token via Remote Debug (STRD) demonstra como recursos legítimos dos navegadores modernos podem ser abusados para manter acesso furtivo ao Gmail corporativo e a outros serviços do Google Workspace.
Para empresas, o alerta é claro: proteger apenas credenciais já não basta. Auditorias constantes em aplicativos conectados, revisão periódica de permissões OAuth, monitoramento de endpoints e conscientização das equipes tornaram-se componentes essenciais de uma estratégia moderna de segurança. Compartilhar esse alerta com a equipe de TI e revisar imediatamente os tokens OAuth ativos pode fazer a diferença entre interromper uma invasão silenciosa ou permitir que um atacante permaneça meses dentro do ambiente corporativo.
