---
title: بدافزار Umbrij چگونه حساب‌های جیمیل را بدون سرقت رمز عبور هدف می‌گیرد؟
date: 2026-07-03T17:00:07Z
modified: 2026-07-03T17:17:24Z
permalink: "https://nooshdaroo.ir/news-opinion/toddycat-umbrij-gmail-oauth-session-token-abuse/"
type: post
status: publish
excerpt: ""
wpid: 14123
categories:
  - خبر و تحلیل
  - ابزارها و افزونه‌ها
  - کسب‌وکار آنلاین
tags:
  - امنیت سایبری
  - جیمیل
author:
  - Hooshyar
  - daniyal
featured_image: "https://nooshdaroo.ir/wp-content/uploads/2026/07/umbrij-browser-session-attack.webp"
---

تصور کنید کارمندی در سیستم کاری خود وارد حساب گوگل شده و مرورگرش همچنان باز است. اگر همان سیستم از قبل آلوده شده باشد، مهاجم برای دسترسی به جیمیل همیشه نیازی به رمز عبور، کد دومرحله‌ای یا فریب دوباره کاربر ندارد؛ کافی است از نشست فعالی استفاده کند که مرورگر قبلاً با موفقیت ساخته است.

پژوهشگران کسپرسکی چنین روشی را در بدافزاری به نام «آمبریج» (Umbrij) شناسایی کرده‌اند؛ ابزاری که به گروه APT معروف به ToddyCat نسبت داده شده است. Umbrij به‌جای سرقت مستقیم رمز عبور، از نشست معتبر مرورگر سوءاستفاده می‌کند تا مجوز OAuth بگیرد و از طریق APIهای گوگل به داده‌هایی مثل جیمیل و برخی سرویس‌های وابسته دسترسی پیدا کند.

## وقتی فایل‌های معتبر، بدافزار را اجرا می‌کنند

شاید فکر کنید چون رمز عبور پیچیده‌ای دارید و [تایید دو مرحله‌ای](https://nooshdaroo.ir/cybersecurity-basics/two-step-factor-verification/) را فعال کرده‌اید، کاملاً در امان هستید؛ اما این [بدافزار](https://nooshdaroo.ir/cybersecurity-basics/malware-explained/) دقیقاً این موانع را دور می‌زند. وقتی شما وارد حساب جیمیل خود در مرورگرهایی مثل کروم یا اج می‌شوید، مرورگر یک «نشست فعال » (Session) می‌سازد تا مجبور نباشید هر بار رمز خود را وارد کنید. بدافزار اومبریج دقیقاً به سراغ همین نشست‌های فعال می‌رود.

اگر این بدافزار وارد سیستم شما شود، می‌تواند به تمام ایمیل‌ها، فایل‌های گوگل درایو، مخاطبان و تقویم شما دسترسی کامل پیدا کند؛ آن هم در حالی که شما در حال انجام کارهای روزمره خود هستید و هیچ چیز مشکوکی روی صفحه نمایش نمی‌بینید.

این برنامه‌ها به‌دلیل شیوه ناامن بارگذاری DLL، فایل مخرب را به‌جای کتابخانه اصلی بارگذاری می‌کنند. جدول زیر نشان می‌دهد که هکرها چگونه در پشت نرم‌افزارهای آشنا پنهان می‌شوند و آن‌ها را به بستری برای راه‌اندازی بدافزار خود تبدیل می‌کنند:



| فایل قانونی هدف | فایل متعلق به کدام نرم‌افزار است؟ | نام فایل مخرب فراخوانی‌شده |
| --- | --- | --- |
| BDSubWiz.exe | Bitdefender ConnectAgent | log.dll |
| VSTestVideoRecorder.exe | Microsoft Visual Studio | Microsoft.VisualStudio.QualityTools.VideoRecorderEngine.dll |
| GoogleDesktop.exe | Google Desktop Search | GoogleServices.dll |

## سرقت توکن بدون سرقت رمز عبور 

پس از اجرای موفق بدافزار، مرحله اصلی حمله آغاز می‌شود. هدف آمبریج اجرای تکنیکی است که در ادبیات امنیت سایبری با نام «توکن سایه از طریق دیباگ از راه دور» (STRD) شناخته می‌شود.

بدافزار پوشه‌های مربوط به گوگل کروم و مایکروسافت اج را جست‌وجو می‌کند تا پروفایل‌هایی را که به حساب گوگل وارد شده‌اند، شناسایی کند. برای آنکه کاربر متوجه هیچ اختلالی در کارش نشود، بدافزار یخشی از داده‌های مهم پروفایل مرورگر، از جمله کوکی‌ها، داده‌های ورود، تنظیمات و داده‌های ذخیره‌شده مرورگر را در یک پوشه پنهان کپی می‌کند.

سپس، یک نسخه از مرورگر در پس‌زمینه و بدون رابط کاربری (Headless) اجرا می‌شود؛ یعنی مرورگر کاملاً فعال است، اما هیچ پنجره‌ای روی مانیتور کاربر ظاهر نمی‌شود. بدافزار از طریق پروتکل Chrome DevTools، کنترل این مرورگر نامرئی را به دست می‌گیرد. از آنجا که این مرورگر از کوکی‌ها و نشست احراز هویت‌شده کاربر استفاده می‌کند، سرویس‌های گوگل آن را معتبر تلقی می‌کنند. در نتیجه، مهاجم نیازی به وارد کردن دوباره رمز عبور یا کد تأیید دومرحله‌ای ندارد و از همان اعتبار موجود سوءاستفاده می‌کند.

در این مرحله، بدافزار خود را به‌جای یکی از ابزارهای رسمی انتقال داده معرفی می‌کند و در همان نشست احراز هویت‌شده، درخواست دریافت مجوز OAuth را ارسال می‌کند. سپس با خودکارسازی فرایند اعطای مجوز، یک توکن OAuth معتبر برای دسترسی به حساب ایجاد می‌شود؛ توکنی که به مهاجم اجازه می‌دهد بدون دانستن رمز عبور، از طریق APIهای گوگل به داده‌های کاربر دسترسی پیدا کند.

## چرا این حمله برای سازمان‌های ایرانی هم مهم است؟

شاید نام گروه ToddyCat در اخبار بین‌المللی بیشتر با حملات به اروپا و شرق آسیا گره خورده باشد، اما بررسی فعالیت‌های سایبری تأیید می‌کند که نهادهای دولتی، ارتباطی و نظامی در چندین کشور از جمله ایران، روسیه و هند از اهداف اصلی جاسوسی این گروه در سال‌های ۲۰۲۱ و ۲۰۲۲ بوده‌اند.

امروزه شماری از شرکت‌های فناوری، استارتاپ‌ها، صرافی‌های رمزارز و حتی سازمان‌های متوسط ایرانی برای مدیریت ارتباطات درون‌سازمانی و مکاتبات بین‌المللی خود به سرویس‌های ابری و ایمیل گوگل وابسته‌اند. در برخی موارد، استفاده از نرم‌افزارهای غیررسمی، نسخه‌های قفل‌شکسته یا منابع دانلود نامطمئن می‌تواند احتمال آلودگی به چنین بدافزارهایی را افزایش دهد.

تکنیک‌هایی نظیر توکن سایه نشان می‌دهد که تکیه صرف بر فایروال‌های سنتی شبکه‌ برای محافظت از داده‌های حیاتی شرکت‌های ایرانی دیگر به‌تنهایی کافی نیست، چرا که تهدید از درون مرورگرها و با هویتی کاملاً معتبر و قانونی آغاز می‌شود.

## در آخر: چگونه ایمن بمانیم؟

اگرچه این روش می‌تواند روی هر حساب گوگلی اجرا شود، اما هدف اصلی گروه تادی‌کت تاکنون سازمان‌ها، شرکت‌ها و کاربرانی بوده‌اند که اطلاعات حساس کاری را در بستر ایمیل‌های سازمانی گوگل (Google Workspace) رد و بدل می‌کنند. بنابراین اگر از ایمیل سازمانی بر بستر گوگل استفاده می‌کنید، باید دقت بیشتری داشته باشید. برای کاهش خطر حمله‌هایی شبیه Umbrij، این نکات را جدی بگیرید:

- **دسترسی‌های مشکوک گوگل را فوراً لغو کنید (مهم‌ترین اقدام)**
     به آدرس `myaccount.google.com/connections` بروید. اگر برنامه‌هایی با نام Google Workspace Migration for Microsoft Outlook یا Google Workspace Sync for Microsoft Outlook دیدید که در سازمان شما استفاده نمی‌شوند، فوراً دسترسی آن‌ها را لغو کنید تا توکن‌های OAuth باطل شوند.
- **برنامه‌ها را فقط از منابع معتبر نصب کنید**
     فایل‌های ناشناس، نسخه‌های قفل‌شکسته و ابزارهای دانلودشده از سایت‌های نامطمئن می‌توانند نقطه شروع آلودگی باشند.
- **نشست‌های فعال حساب گوگل را بی‌دلیل باز نگذارید**
    اگر از جیمیل یا Google Workspace روی سیستم عمومی، کاری یا مشترک استفاده می‌کنید، پس از پایان کار از حساب خارج شوید.
- **دسترسی برنامه‌های متصل به حساب گوگل را بررسی کنید**
    در تنظیمات حساب گوگل، بخش Third-party apps & services را بازبینی کنید و دسترسی برنامه‌های ناشناس یا غیرضروری را لغو کنید.
- **به مجوزهای OAuth حساس باشید**
    اگر برنامه‌ای با نامی شبیه ابزارهای رسمی مایکروسافت یا گوگل از شما مجوز دسترسی به جیمیل، Drive، تقویم یا مخاطبان خواست، قبل از تأیید، منبع و دلیل دسترسی را بررسی کنید.
- **اجرای مرورگر در حالت‌های غیرعادی را پایش کنید**
    در سازمان‌ها، اجرای Chrome یا Edge با پارامترهایی مثل `--remote-debugging-port` یا `--headless` روی سیستم‌های معمولی کارمندان باید مشکوک تلقی شود، مگر اینکه آن سیستم برای توسعه وب یا تست خودکار استفاده شود.
- **دسترسی به ابزارهای توسعه را محدود کنید**
    برای کارمندانی که به Chrome DevTools نیاز ندارند، می‌توان این قابلیت را از طریق سیاست‌های سازمانی مرورگر غیرفعال کرد.
- **بارگذاری DLLهای مشکوک را زیر نظر بگیرید**
    اجرای فایل‌های قانونی که به‌طور غیرعادی DLLهای ناشناس یا مخرب را بارگذاری می‌کنند، می‌تواند نشانه DLL Sideloading باشد.
- **تغییر رمز کافی نیست**
    اگر احتمال آلودگی وجود دارد، علاوه بر تغییر رمز، نشست‌های فعال، دستگاه‌های متصل و مجوزهای برنامه‌های ثالث را هم بررسی و دسترسی‌های مشکوک را لغو کنید.



  [ ![](https://nooshdaroo.ir/wp-content/uploads/2026/05/nooshdaroo_69fc643cc1548.webp) ](https://nooshdaroo.ir/news-opinion/voidstealer-steals-chrome-session-cookies/) 

 

#####  [روش تازه برای سرقت اطلاعات کروم: بدافزار VoidStealer از سد امنیتی گوگل عبور کرد](https://nooshdaroo.ir/news-opinion/voidstealer-steals-chrome-session-cookies/) 

 

 

   [ ![](https://nooshdaroo.ir/wp-content/uploads/2026/05/chrome-session-cookie-protection.webp) ](https://nooshdaroo.ir/news-opinion/chrome-device-bound-session-credentials-cookie-theft-protection/) 

 

#####  [قفل جدید مرورگر کروم: وقتی هکرها تأیید دومرحله‌ای را هم دور می‌زنند!](https://nooshdaroo.ir/news-opinion/chrome-device-bound-session-credentials-cookie-theft-protection/) 

 

 

   [ ![شبح یک هکر با کلاه هودی و نماد درخشان ات‌ساین در میان کدهای دیجیتال](https://nooshdaroo.ir/wp-content/uploads/2026/05/nooshdaroo_69ff4648c72de.webp) ](https://nooshdaroo.ir/cybersecurity-basics/what-can-someone-do-with-email-address/) 

 

#####  [لو رفتن ایمیل چه پیامدهایی دارد؟](https://nooshdaroo.ir/cybersecurity-basics/what-can-someone-do-with-email-address/)