Basado en información de The Hacker News →
Introducción
Un malware silencioso, sin necesidad de infectar el cliente de correo, está abusando de OAuth para leer el Gmail corporativo de sus víctimas desde afuera. Si tu equipo confía ciegamente en los permisos de las aplicaciones de Google, este ataque ya te está mirando.
El problema
El grupo de APT conocido como ToddyCat ha sido vinculado a una nueva familia de malware bautizada como Umbrij. Según reportó The Hacker News citando a Kaspersky, la campaña apunta específicamente a la comunicación de correo electrónico corporativo alojada en Gmail. En lugar de robar credenciales o instalar un keylogger, Umbrij se aprovecha de la API de Google y del flujo OAuth para obtener acceso persistente y remoto a la bandeja de entrada sin levantar sospechas. "In this campaign, the attackers focused their attention on corporate email communications hosted on Gmail, targeting access compromise via APIs," indicó Kaspersky en su informe.
Consecuencias
Lo que está en juego no es solo un buzón filtrado. Al comprometer el acceso vía API, el atacante puede leer, reenviar y potencialmente modificar correos sin que el usuario note actividad extraña en su sesión web o en su celular. Esto significa que un ejecutivo puede estar siendo espiado durante semanas —contratos, negociaciones, credenciales de terceros— sin que ningún antivirus tradicional detecte anomalías en el disco o en el tráfico de red.