Umbrij-Malware: Hacker kapern Gmail ohne Passwort oder 2FA
02.07.2026 - 22:56:45 | boerse-global.de
Das Toolkit namens Umbrij wird von der APT-Gruppe ToddyCat genutzt, um Unternehmens-Gmail-Konten zu übernehmen. Statt Passwörter zu stehlen, greifen die Hacker direkt die OAuth-Tokens aus aktiven Browser-Sitzungen ab – und umgehen damit auch die Zwei-Faktor-Authentifizierung.
Schatten-Token per Remote-Debug-Verfahren
Die Angriffsmethode trägt den Namen Shadow Token via Remote Debug (STRD). Wie Kaspersky am 2. Juli 2026 mitteilte, nutzt die Malware aktive Sitzungen in Google Chrome und Microsoft Edge aus. Über den Headless-Modus des Browsers und einen offenen Remote-Debugging-Port manipuliert Umbrij die Sitzungsdaten – und das völlig unbemerkt vom Nutzer.
Im Kern setzt die Schadsoftware auf Puppeteer, ein Automatisierungstool für Browser. Damit fordert sie OAuth-Codes an und erhält dauerhaften Zugriff auf Gmail, Kontakte und Google Drive. Passwörter oder die Zwei-Faktor-Authentifizierung sind für die Angreifer dann irrelevant – sie nutzen die bereits bestehende, legitime Sitzung.
DLL-Side-Loading als Einfallstor
Die Verbreitung von Umbrij erfolgt über eine raffinierte Technik namens DLL-Side-Loading. Dabei wird ausgenutzt, wie Windows-Anwendungen externe Bibliotheken laden. Die Forscher beobachteten, dass die Malware legitime Programme von Bitdefender, Microsoft Visual Studio und Google Desktop kapert, um ihre schädlichen Komponenten einzuschleusen.
Die Umbrij-Malware umgeht Passwort und 2FA – und übernimmt Ihr Gmail-Konto über OAuth-Token-Diebstahl. Dieser Report zeigt, wie Sie Ihre Cloud-Konten mit einer konkreten Checkliste und Tool-Übersicht schützen. Jetzt kostenlosen Sicherheits-Report anfordern
Um in Unternehmensnetzwerken unentdeckt zu bleiben, tarnt sich das Toolkit als harmlose Hilfsprogramme – etwa als Google-Workspace-Migrationstools. Kaspersky identifizierte drei verschiedene Varianten der Malware, die unter anderem Protokollierungsfunktionen für schädliche Aktivitäten und Mechanismen zur dauerhaften Installation enthalten.
Alarmierende Entwicklung bei Cloud-Konten
Die Entdeckung von Umbrij fällt in eine Zeit wachsender Angriffe auf Cloud-basierte Zugangstokens. Zwischen dem 12. und 26. Juni 2026 registrierten Sicherheitsforscher von Huntress eine massive Password-Spraying-Kampagne gegen Microsoft-365-Konten. Rund 81 Millionen Anmeldeversuche wurden gezählt – 78 Konten in Dutzenden Organisationen wurden erfolgreich kompromittiert. Auch hier gelang es den Angreifern, die Zwei-Faktor-Authentifizierung über spezielle Protokolle zu umgehen.
Password-Spraying-Kampagnen gegen M365-Konten nehmen massiv zu – 81 Millionen Anmeldeversuche in nur zwei Wochen. Erfahren Sie in diesem Report, wie Sie solche Angriffe erkennen und Ihre OAuth-Tokens absichern. Sicherheits-Report jetzt herunterladen
Hinzu kommen Phishing-as-a-Service-Plattformen wie Kali365, die seit April 2026 aktiv sind. Diese Dienste missbrauchen gezielt den Microsoft-Gerätecode-Login, um OAuth-Tokens zu stehlen – mit Fokus auf Outlook, Teams und OneDrive.
Die aktuellen Entwicklungen zeigen einen klaren Trend: Cyberkriminelle setzen zunehmend auf stille Informationsdiebstähle und die Ausnutzung bereits authentifizierter Sitzungen. Herkömmliche Passwort-Sicherheit reicht längst nicht mehr aus.
