O aplicativo Google Agenda pode ser explorado por hackers

De acordo com o The Hacker News , o Google alertou que vários agentes de ameaças estão compartilhando exploits públicos que aproveitam seu serviço de calendário para hospedar infraestrutura de comando e controle (C2).

A ferramenta, chamada Google Calendar RAT (GCR), utiliza o recurso de eventos do aplicativo para emitir comandos e controles usando uma conta do Gmail. O programa foi publicado pela primeira vez no GitHub em junho de 2023.

O pesquisador de segurança Sr. Saighnal afirmou que o código cria um canal secreto explorando descrições de eventos no aplicativo de calendário do Google. Em seu oitavo Relatório de Ameaças, o Google afirmou não ter observado a ferramenta sendo usada em campo, mas observou que sua unidade de inteligência de ameaças, a Mandiant, identificou diversas ameaças que compartilharam exploits de prova de conceito (PoC) em fóruns clandestinos.

O Google afirma que o GCR é executado em uma máquina comprometida, verificando periodicamente a descrição do evento em busca de novos comandos, executando-os no dispositivo alvo e atualizando a descrição com o comando. O fato de a ferramenta operar em uma infraestrutura legítima dificulta a detecção de atividades suspeitas.

Este caso demonstra mais uma vez o preocupante abuso de serviços de nuvem por parte de agentes de ameaças para se infiltrar e se esconder nos dispositivos das vítimas. Anteriormente, um grupo de hackers, supostamente ligado ao governo iraniano, utilizou documentos contendo macros para abrir uma backdoor em computadores Windows e emitir comandos de controle por e-mail.

O Google informou que o backdoor usa IMAP para se conectar a uma conta de webmail controlada por hackers, analisa e-mails em busca de comandos, executa-os e envia de volta e-mails com os resultados. A equipe de análise de ameaças do Google desativou as contas do Gmail controladas pelo invasor, que o malware usava como canal.