Grupo ToddyCat adota novas táticas para acessar e-mails corporativos

BR Defense Center (By River de Morais e Silva)
malware

O grupo de ameaças conhecido como ToddyCat tem utilizado métodos inovadores para obter acesso a dados de e-mail corporativo de empresas-alvo, incluindo uma ferramenta personalizada chamada TCSectorCopy. Essa técnica permite que os atacantes obtenham tokens do protocolo de autorização OAuth 2.0 através do navegador do usuário, possibilitando o acesso a e-mails corporativos fora da infraestrutura comprometida. Desde 2020, o ToddyCat tem como alvo diversas organizações na Europa e na Ásia, utilizando ferramentas como Samurai e TomBerBil para manter acesso e roubar cookies e credenciais de navegadores como Google Chrome e Microsoft Edge. Recentemente, o grupo explorou uma vulnerabilidade no ESET Command Line Scanner (CVE-2024-11859) para entregar um malware inédito chamado TCESB. Além disso, uma nova variante do TomBerBil foi detectada, capaz de extrair dados do Mozilla Firefox e operar em controladores de domínio. O ToddyCat também tem tentado obter tokens de acesso diretamente da memória em organizações que utilizam o Microsoft 365, utilizando uma ferramenta chamada SharpTokenFinder. Apesar de enfrentar dificuldades em algumas tentativas, o grupo continua a desenvolver suas técnicas para acessar correspondências corporativas de forma furtiva.

Fonte: https://thehackernews.com/2025/11/toddycats-new-hacking-tools-steal.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
25/11/2025 • Risco: ALTO
MALWARE

Grupo ToddyCat adota novas táticas para acessar e-mails corporativos

RESUMO EXECUTIVO
O grupo ToddyCat tem demonstrado uma capacidade crescente de explorar vulnerabilidades e técnicas de engenharia social para acessar dados corporativos. Com a utilização de ferramentas como TCSectorCopy e TomBerBil, as empresas devem estar atentas a essas ameaças e implementar medidas de segurança robustas para proteger suas informações.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de dados de e-mail e credenciais de acesso.
Setores vulneráveis
['Setores de tecnologia, finanças e serviços que utilizam Microsoft 365']

📊 INDICADORES CHAVE

CVE-2024-11859 com CVSS score de 6.8. Indicador
Atividades do grupo ToddyCat desde 2020. Contexto BR
Várias organizações na Europa e Ásia como alvos. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e atividades suspeitas em sistemas que utilizam Microsoft 365 e ESET.
2 Implementar atualizações de segurança e monitorar o uso de ferramentas como SharpTokenFinder.
3 Monitorar continuamente acessos não autorizados e tentativas de extração de dados.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a evolução das técnicas de ataque que visam dados sensíveis, especialmente em um cenário onde o trabalho remoto e o uso de serviços em nuvem são comuns.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente no que diz respeito à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).