Aplicativo do Google Agenda pode ser explorado por hackers

De acordo com o The Hacker News , o Google alertou que vários agentes de ameaças estão compartilhando exploits públicos que aproveitam seu serviço de calendário para hospedar infraestrutura de comando e controle (C2).

A ferramenta, chamada Google Calendar RAT (GCR), utiliza o recurso de eventos do aplicativo para emitir comandos e controles usando uma conta do Gmail. O programa foi publicado pela primeira vez no GitHub em junho de 2023.

O pesquisador de segurança MrSaighnal afirmou que o código cria um canal secreto explorando descrições de eventos no aplicativo de calendário do Google. Em seu oitavo Relatório de Ameaças, o Google afirmou não ter observado a ferramenta sendo usada em campo, mas observou que sua unidade de inteligência de ameaças, a Mandiant, havia identificado diversas ameaças que compartilhavam exploits de prova de conceito (PoC) em fóruns clandestinos.

O Google afirma que o GCR é executado em uma máquina comprometida, verificando periodicamente a descrição do evento em busca de novos comandos, executando-os no dispositivo alvo e atualizando a descrição com o comando. O fato de a ferramenta operar em uma infraestrutura legítima dificulta a detecção de atividades suspeitas.

Este caso demonstra mais uma vez o uso preocupante de serviços em nuvem por agentes de ameaças para se infiltrar e se esconder nos dispositivos das vítimas. Anteriormente, um grupo de hackers, supostamente ligado ao governo iraniano, utilizou documentos contendo macros para abrir uma backdoor em computadores Windows e emitir comandos por e-mail.

O Google afirmou que o backdoor usa IMAP para se conectar a uma conta de webmail controlada pelo hacker, analisa e-mails em busca de comandos, os executa e envia de volta e-mails com os resultados. A equipe de análise de ameaças do Google desativou as contas do Gmail controladas pelo invasor, que o malware usava como canal.