Umbrij-Malware, Hacker

Umbrij-Malware: Hacker kapern Gmail ohne Passwort oder 2FA

02.07.2026 - 22:56:45 | boerse-global.de

Neue Schadsoftware Umbrij stiehlt OAuth-Tokens aus Browsersitzungen und umgeht so die Zwei-Faktor-Authentifizierung bei Google-Konten.

Umbrij-Malware: Hacker kapern Gmail-Konten ohne Passwort oder 2FA
Umbrij-Malware - Eine schattenhafte Hand greift nach einem leuchtenden Gmail-Logo auf einem Bildschirm, umgeben von Code, symbolisiert eine Cyber-Bedrohung für Cloud-Konten. 02.07.2026 - Bild: über boerse-global.de

Das Toolkit namens Umbrij wird von der APT-Gruppe ToddyCat genutzt, um Unternehmens-Gmail-Konten zu übernehmen. Statt Passwörter zu stehlen, greifen die Hacker direkt die OAuth-Tokens aus aktiven Browser-Sitzungen ab – und umgehen damit auch die Zwei-Faktor-Authentifizierung.

Schatten-Token per Remote-Debug-Verfahren

Die Angriffsmethode trägt den Namen Shadow Token via Remote Debug (STRD). Wie Kaspersky am 2. Juli 2026 mitteilte, nutzt die Malware aktive Sitzungen in Google Chrome und Microsoft Edge aus. Über den Headless-Modus des Browsers und einen offenen Remote-Debugging-Port manipuliert Umbrij die Sitzungsdaten – und das völlig unbemerkt vom Nutzer.

Im Kern setzt die Schadsoftware auf Puppeteer, ein Automatisierungstool für Browser. Damit fordert sie OAuth-Codes an und erhält dauerhaften Zugriff auf Gmail, Kontakte und Google Drive. Passwörter oder die Zwei-Faktor-Authentifizierung sind für die Angreifer dann irrelevant – sie nutzen die bereits bestehende, legitime Sitzung.

DLL-Side-Loading als Einfallstor

Die Verbreitung von Umbrij erfolgt über eine raffinierte Technik namens DLL-Side-Loading. Dabei wird ausgenutzt, wie Windows-Anwendungen externe Bibliotheken laden. Die Forscher beobachteten, dass die Malware legitime Programme von Bitdefender, Microsoft Visual Studio und Google Desktop kapert, um ihre schädlichen Komponenten einzuschleusen.

Anzeige

Die Umbrij-Malware umgeht Passwort und 2FA – und übernimmt Ihr Gmail-Konto über OAuth-Token-Diebstahl. Dieser Report zeigt, wie Sie Ihre Cloud-Konten mit einer konkreten Checkliste und Tool-Übersicht schützen. Jetzt kostenlosen Sicherheits-Report anfordern

Um in Unternehmensnetzwerken unentdeckt zu bleiben, tarnt sich das Toolkit als harmlose Hilfsprogramme – etwa als Google-Workspace-Migrationstools. Kaspersky identifizierte drei verschiedene Varianten der Malware, die unter anderem Protokollierungsfunktionen für schädliche Aktivitäten und Mechanismen zur dauerhaften Installation enthalten.

Alarmierende Entwicklung bei Cloud-Konten

Die Entdeckung von Umbrij fällt in eine Zeit wachsender Angriffe auf Cloud-basierte Zugangstokens. Zwischen dem 12. und 26. Juni 2026 registrierten Sicherheitsforscher von Huntress eine massive Password-Spraying-Kampagne gegen Microsoft-365-Konten. Rund 81 Millionen Anmeldeversuche wurden gezählt – 78 Konten in Dutzenden Organisationen wurden erfolgreich kompromittiert. Auch hier gelang es den Angreifern, die Zwei-Faktor-Authentifizierung über spezielle Protokolle zu umgehen.

Anzeige

Password-Spraying-Kampagnen gegen M365-Konten nehmen massiv zu – 81 Millionen Anmeldeversuche in nur zwei Wochen. Erfahren Sie in diesem Report, wie Sie solche Angriffe erkennen und Ihre OAuth-Tokens absichern. Sicherheits-Report jetzt herunterladen

Hinzu kommen Phishing-as-a-Service-Plattformen wie Kali365, die seit April 2026 aktiv sind. Diese Dienste missbrauchen gezielt den Microsoft-Gerätecode-Login, um OAuth-Tokens zu stehlen – mit Fokus auf Outlook, Teams und OneDrive.

Die aktuellen Entwicklungen zeigen einen klaren Trend: Cyberkriminelle setzen zunehmend auf stille Informationsdiebstähle und die Ausnutzung bereits authentifizierter Sitzungen. Herkömmliche Passwort-Sicherheit reicht längst nicht mehr aus.

de | wissenschaft | 69676937 |