O aplicativo Google Agenda pode ser explorado por hackers.

Segundo o The Hacker News , o Google alertou que vários agentes maliciosos estão compartilhando exploits públicos que exploram seu serviço de calendário para hospedar infraestrutura de comando e controle (C2).

A ferramenta, chamada Google Calendar RAT (GCR), utiliza o recurso de eventos do aplicativo para emitir comandos e controlar o sistema por meio de uma conta do Gmail. O programa foi publicado inicialmente no GitHub em junho de 2023.

O pesquisador de segurança MrSaighnal afirmou que o código cria um canal oculto explorando as descrições de eventos no aplicativo de calendário do Google. Em seu oitavo Relatório de Ameaças, o Google disse não ter observado a ferramenta sendo usada em ataques reais, mas observou que sua unidade de inteligência de ameaças, a Mandiant, identificou diversas ameaças que compartilharam provas de conceito (PoC) em fóruns clandestinos.

O Google afirma que o GCR é executado em uma máquina comprometida, verificando periodicamente a descrição do evento em busca de novos comandos, executando-os no dispositivo alvo e atualizando a descrição com o comando. O fato de a ferramenta operar em infraestrutura legítima dificulta a detecção de atividades suspeitas.

Este caso demonstra, mais uma vez, o preocupante abuso de serviços em nuvem por agentes maliciosos para se infiltrarem e se esconderem nos dispositivos das vítimas. Anteriormente, um grupo de hackers supostamente ligado ao governo iraniano utilizou documentos contendo macros para abrir uma porta dos fundos em computadores Windows e emitir comandos de controle por e-mail.

O Google informou que o backdoor usa IMAP para se conectar a uma conta de webmail controlada por hackers, analisa os e-mails em busca de comandos, os executa e envia e-mails de volta contendo os resultados. A equipe de análise de ameaças do Google desativou as contas do Gmail controladas pelo invasor que o malware usava como meio de comunicação.