Selon The Hacker News , Google a averti que plusieurs acteurs malveillants partagent des exploits publics qui exploitent son service de calendrier pour héberger une infrastructure de commandement et de contrôle (C2).
L'outil, appelé Google Calendar RAT (GCR), utilise la fonctionnalité d'événements de l'application pour émettre des commandes et des contrôles via un compte Gmail. Le programme a été initialement publié sur GitHub en juin 2023.
Le chercheur en sécurité MrSaighnal a déclaré que le code crée un canal secret en exploitant les descriptions d'événements dans l'application de calendrier de Google. Dans son huitième rapport sur les menaces, Google a indiqué n'avoir observé aucune utilisation de l'outil en situation réelle, mais a noté que son unité de renseignement sur les menaces Mandiant avait repéré plusieurs menaces partageant des exploits de preuve de concept (PoC) sur des forums clandestins.
Google Agenda peut être exploité comme un centre de commande et de contrôle pour les pirates informatiques
Google affirme que GCR s'exécute sur une machine compromise, analyse périodiquement la description de l'événement à la recherche de nouvelles commandes, les exécute sur l'appareil cible et met à jour la description avec la commande. Le fait que l'outil fonctionne sur une infrastructure légitime rend difficile la détection d'activités suspectes.
Cette affaire illustre une fois de plus l'utilisation inquiétante des services cloud par les acteurs malveillants pour s'infiltrer et se dissimuler sur les appareils de leurs victimes. Auparavant, un groupe de pirates informatiques soupçonné d'être lié au gouvernement iranien avait utilisé des documents contenant des macros pour ouvrir une porte dérobée sur des ordinateurs Windows et envoyer des commandes par e-mail.
Google a déclaré que la porte dérobée utilise le protocole IMAP pour se connecter à un compte de messagerie web contrôlé par le pirate, analyser les commandes des e-mails, les exécuter et renvoyer les résultats. L'équipe d'analyse des menaces de Google a désactivé les comptes Gmail contrôlés par l'attaquant et utilisés par le logiciel malveillant comme canal.
Lien source
Comment (0)