Outlook im Fadenkreuz
Ziel der Angreifer ist es dabei, sich Zugriff auf tatsächliche E-Mail-Daten verschaffen. ToddyCat setzt dazu ein Device namens TCSectorCopy ein – ein C++-Dienstprogramm, das die Festplatte als schreibgeschütztes Gerät öffnet und die Offline-Speicherdateien (OST) von Outlook kopiert, wobei alle Dateisperrmechanismen, die Outlook möglicherweise durchsetzt, umgangen werden.
Sobald die OST-Dateien extrahiert sind, werden sie in XstReader eingespeist – einen Open-Supply-Viewer, der OST/PST-E-Mail-Archive analysieren kann. Dadurch erhalten die Angreifer Zugriff auf den gesamten Inhalt der Unternehmenskorrespondenz. In Umgebungen, die Cloud-E-Mail wie Microsoft 365 verwenden, versucht das neue ToddyCat, OAuth 2.0-Zugriffstoken zu sammeln.
Wie Kaspersky erklärt, können Angreifer OAuth 2.0-Token aus dem Browser eines Opfers extrahieren und so auf Unternehmens-E-Mails zugreifen, selbst wenn sie sich nicht mehr im kompromittierten Netzwerk befinden.
