Grupo ToddyCat adota novas táticas para acessar e-mails corporativos
O grupo de ameaças conhecido como ToddyCat tem utilizado métodos inovadores para obter acesso a dados de e-mail corporativo de empresas-alvo, incluindo uma ferramenta personalizada chamada TCSectorCopy. Essa técnica permite que os atacantes obtenham tokens do protocolo de autorização OAuth 2.0 através do navegador do usuário, possibilitando o acesso a e-mails corporativos fora da infraestrutura comprometida. Desde 2020, o ToddyCat tem como alvo diversas organizações na Europa e na Ásia, utilizando ferramentas como Samurai e TomBerBil para manter acesso e roubar cookies e credenciais de navegadores como Google Chrome e Microsoft Edge. Recentemente, o grupo explorou uma vulnerabilidade no ESET Command Line Scanner (CVE-2024-11859) para entregar um malware inédito chamado TCESB. Além disso, uma nova variante do TomBerBil foi detectada, capaz de extrair dados do Mozilla Firefox e operar em controladores de domínio. O ToddyCat também tem tentado obter tokens de acesso diretamente da memória em organizações que utilizam o Microsoft 365, utilizando uma ferramenta chamada SharpTokenFinder. Apesar de enfrentar dificuldades em algumas tentativas, o grupo continua a desenvolver suas técnicas para acessar correspondências corporativas de forma furtiva.