Aplicația Calendar de la Google ar putea fi exploatată de hackeri.

Potrivit The Hacker News , Google a avertizat că mai mulți actori vulnerabili distribuie public exploatări care vizează utilizarea serviciului de calendar al companiei pentru a stoca infrastructura de comandă și control (C2).

Instrumentul, numit Google Calendar RAT (GCR), folosește funcțiile de evenimente ale aplicației pentru a emite comenzi și a o controla prin intermediul unui cont Gmail. Programul a fost publicat pentru prima dată pe GitHub în iunie 2023.

Cercetătorul în securitate informatică, dl. Saighnal, a declarat că acest cod creează un canal secret prin exploatarea descrierilor evenimentelor din aplicația calendar a Google. În cel de-al optulea Raport privind amenințările, Google a declarat că nu a observat utilizarea instrumentului în practică, dar a menționat că unitatea sa de informații despre amenințări Mandiant a detectat mai multe amenințări care au distribuit exploatări de tip proof-of-concept (PoC) pe forumuri clandestine.

Google susține că GCR rulează pe un computer compromis, scanând periodic descriptorii de evenimente pentru comenzi noi, executându-i pe dispozitivul țintă și actualizând descriptorii cu o comandă. Faptul că acest instrument funcționează pe o infrastructură legitimă face foarte dificilă detectarea activităților suspecte.

Acest caz evidențiază încă o dată problema alarmantă a amenințărilor care abuzează de serviciile cloud pentru a se infiltra și a se ascunde în dispozitivele victimelor. Anterior, un grup de hackeri despre care se presupune că are legături cu guvernul iranian a folosit documente care conțineau cod macro pentru a deschide un backdoor pe computerele cu Windows și, simultan, a emis comenzi de control prin e-mail.

Google a declarat că backdoor-ul folosea IMAP pentru a se conecta la conturile de webmail controlate de hackeri, analizând e-mailurile pentru a extrage comenzi, executându-le și trimițând înapoi e-mailuri care conțineau rezultatele. Echipa de analiză a amenințărilor de la Google a dezactivat conturile Gmail controlate de atacatori pe care malware-ul le-a folosit ca și canal.