Die Kalender-App von Google könnte von Hackern ausgenutzt werden.

Laut The Hacker News warnt Google davor, dass mehrere Bedrohungsakteure öffentlich Exploits teilen, die darauf abzielen, den Kalenderdienst von Google zur Einrichtung einer Command-and-Control-Infrastruktur (C2) zu nutzen.

Das Tool namens Google Calendar RAT (GCR) nutzt die Ereignisfunktionen der Anwendung, um Befehle auszuführen und sie über ein Gmail-Konto zu steuern. Das Programm wurde erstmals im Juni 2023 auf GitHub veröffentlicht.

Der Sicherheitsforscher MrSaighnal erklärte, der Code erstelle einen geheimen Kanal, indem er Ereignisbeschreibungen in der Google-Kalender-App ausnutze. In seinem achten Bedrohungsbericht gab Google an, das Tool noch nicht in der Praxis beobachtet zu haben, wies aber darauf hin, dass seine Bedrohungsanalyseeinheit Mandiant mehrere Bedrohungen entdeckt habe, die Proof-of-Concept-Exploits (PoC) in Untergrundforen geteilt hätten.

Laut Google läuft GCR auf einem kompromittierten Rechner, scannt regelmäßig Ereignisdeskriptoren nach neuen Befehlen, führt diese auf dem Zielgerät aus und aktualisiert die Deskriptoren anschließend mit einem neuen Befehl. Da dieses Tool auf legitimer Infrastruktur operiert, ist es äußerst schwierig, verdächtige Aktivitäten zu erkennen.

Dieser Fall verdeutlicht erneut die alarmierende Problematik, dass Bedrohungen Cloud-Dienste missbrauchen, um in die Geräte ihrer Opfer einzudringen und sich dort zu verstecken. Zuvor hatte eine mutmaßlich mit der iranischen Regierung verbundene Hackergruppe Dokumente mit Makrocode verwendet, um eine Hintertür in Windows-Computern zu öffnen und gleichzeitig per E-Mail Kontrollbefehle zu versenden.

Google gab an, dass die Hintertür IMAP nutzte, um sich mit von Hackern kontrollierten Webmail-Konten zu verbinden, E-Mails zu analysieren, Befehle zu extrahieren, diese auszuführen und die Ergebnisse per E-Mail zurückzusenden. Googles Bedrohungsanalyseteam deaktivierte die von den Angreifern kontrollierten Gmail-Konten, die die Schadsoftware als Einfallstor nutzte.