Коротко: Эксперты «Лаборатории Касперского» раскрыли способ незаметно читать корпоративную почту Gmail — не украв ни одного пароля. Инструмент Umbrij, который использует группа ToddyCat, перехватывает уже открытую в браузере сессию Google и запрашивает новый OAuth-токен, дающий атакующему доступ к почте, Google Drive, календарю и контактам. Ни окна ввода пароля, ни оповещения о неудачном входе — вторжение почти невидимо. Одна лишь двухфакторная аутентификация его не останавливает; защита — это гигиена устройства и жёсткий контроль над тем, что имеет доступ к аккаунту.
Что произошло
В конце июня 2026 года команда Kaspersky GReAT раскрыла технику, названную STRD — Shadow Token via Remote Debug, обнаруженную в активности APT-группы ToddyCat. Вместо выуживания пароля злоумышленники используют уже авторизованную сессию: если вы вошли в Google в браузере на движке Chromium (Chrome, Edge и другие), специальный инструмент тихо запрашивает новый токен доступа от вашего имени.
Это не первый случай, когда преступники охотятся за токенами, стоящими за вашим входом, а не за самим паролем. Ранее мы разбирали, как атакующие злоупотребляют механизмом авторизации в нашем материале о фишинге через код устройства Microsoft — STRD это та же идея, направленная на аккаунты Google, и от жертвы вообще не требуется никаких действий.
Как работает атака STRD
По данным «Лаборатории Касперского», для атаки используется .NET-библиотека Umbrij, обфусцированная для обхода обнаружения и доставляемая на машины с Windows через DLL-сайдлоадинг с помощью легитимных подписанных файлов. После запуска цепочка выглядит примерно так:
Инструмент копирует профиль браузера с сохранёнными cookie и активной сессией Google, а затем запускает Chrome или Edge в фоне с включённым портом удалённой отладки. Он подключается к работающему браузеру по протоколу DevTools и, поскольку вы всё ещё авторизованы, автоматически проходит процедуру согласия OAuth — выбирает аккаунт и подтверждает запросы разрешений без ввода пароля. Полученный код авторизации обменивается на OAuth-токен, дающий продолжительный доступ через API к Gmail и остальным сервисам Google. Чтобы не выделяться, запросы маскируются под идентификаторы легитимного инструмента миграции Google Workspace.
В итоге доступ выглядит для серверов Google как обычное авторизованное приложение — именно поэтому его так трудно заметить.
Чем это опасно для ваших данных
Почта — это главный ключ к вашей цифровой жизни. Тот, кто читает ваш ящик, может запускать сброс паролей к другим сервисам, собирать счета, договоры и личную переписку, изучать контакты для убедительных дальнейших афер и незаметно копировать историю за годы — не поднимая тревог, на которые вы рассчитываете. Оповещения «новый вход» не будет: с точки зрения аккаунта ничего нового не входило.
И пароль злоумышленнику не понадобился, поэтому меры, построенные вокруг пароля — даже сложного и уникального, — сами по себе этот путь не закрывают. Опасность усиливается, если другие данные о вас уже утекли, как в утечке миллиардов паролей через инфостилеры, о которой мы писали: чем больше преступники уже знают, тем прицельнее вторжение.
Как защититься
Проверьте, что имеет доступ к вашему аккаунту. В аккаунте Google в разделе «Безопасность» → «Сторонние приложения с доступом к аккаунту» просмотрите и отзовите всё, что не узнаёте или чем больше не пользуетесь. Именно здесь проявляется доступ по украденному токену, а регулярная чистка ограничивает ущерб.
Держите двухфакторную аутентификацию включённой — но не полагайтесь только на неё. 2FA по-прежнему блокирует классическую кражу пароля и обязательна; STRD её просто обходит, поэтому она должна работать вместе с остальными шагами. Полный чек-лист разобран в нашем гайде как защитить аккаунт от взлома.
Защищайте само устройство. STRD выполняется на уже скомпрометированной машине, поэтому реальная линия обороны — безопасность конечного устройства: обновляйте ОС и браузер, ставьте программы только из официальных источников, используйте надёжную защиту и с осторожностью относитесь к неожиданным вложениям и установщикам. На общих или рабочих компьютерах выходите из аккаунта Google, а не оставляйте сессию активной.
Используйте уникальные пароли в менеджере. Если доступ к почте приведёт к попыткам сброса паролей на других сервисах, уникальные учётные данные в менеджере паролей не дадут одной утечке обрушить все ваши аккаунты.
Шифруйте трафик в недоверенных сетях. VPN не остановит кражу токена на уже заражённом ПК — это делает только защита устройства. Но он закрывает другую дверь: в публичном или общем Wi-Fi он уводит трафик в зашифрованный туннель, чтобы посторонние в той же сети не перехватили логины и сессии, которые вы отправляете в почту, банк или рабочие порталы. LiMP VPN — no-logs-сервис для iOS и Android; смотрите возможности и тарифы, а больше новостей о безопасности — в нашем блоге.
Касается ли это меня, если я не корпоративная цель?
Кампании ToddyCat нацелены на организации, а конкретный инструмент работает на Windows. Но лежащая в основе слабость — живая сессия браузера, которую что угодно на вашей машине может превратить в новый токен, — универсальна. Любой аккаунт, в котором вы остаётесь постоянно авторизованы, уязвим, если ваше устройство скомпрометировано. Выводы касаются всех: держите устройство чистым, выходите из важных аккаунтов на общих компьютерах и периодически проверяйте доступ к аккаунту.
Источники
Материал подготовлен по данным исследования Kaspersky GReAT (Securelist), июнь 2026 года, а также техническим публикациям Xakep и iXBT, июнь–июль 2026 года.
