La aplicación Google Calendar podría ser explotada por hackers

Según The Hacker News , Google advirtió que varios actores de amenazas están compartiendo exploits públicos que aprovechan su servicio de calendario para alojar la infraestructura de comando y control (C2).

La herramienta, llamada Google Calendar RAT (GCR), utiliza la función de eventos de la aplicación para emitir comandos y controlar mediante una cuenta de Gmail. El programa se publicó por primera vez en GitHub en junio de 2023.

El investigador de seguridad MrSaighnal afirmó que el código crea un canal encubierto al explotar las descripciones de eventos en la aplicación Calendario de Google. En su octavo Informe de Amenazas, Google afirmó no haber observado el uso de la herramienta en la práctica, pero señaló que su unidad de inteligencia de amenazas Mandiant había detectado varias amenazas que compartían exploits de prueba de concepto (PoC) en foros clandestinos.

Google afirma que GCR se ejecuta en un equipo comprometido, escaneando periódicamente la descripción del evento en busca de nuevos comandos, ejecutándolos en el dispositivo objetivo y actualizando la descripción con el comando. El hecho de que la herramienta opere en una infraestructura legítima dificulta la detección de actividad sospechosa.

Este caso demuestra una vez más el preocupante uso de los servicios en la nube por parte de actores de amenazas para infiltrarse y ocultarse en los dispositivos de las víctimas. Anteriormente, un grupo de hackers, presuntamente vinculado al gobierno iraní, utilizó documentos con macros para abrir una puerta trasera en ordenadores Windows y enviar comandos por correo electrónico.

Google afirmó que la puerta trasera usa IMAP para conectarse a una cuenta de correo web controlada por el hacker, analiza los correos electrónicos en busca de comandos, los ejecuta y envía correos electrónicos con los resultados. El equipo de análisis de amenazas de Google ha desactivado las cuentas de Gmail controladas por el atacante que el malware utilizaba como conducto.