Googles Kalender-app kan utnyttjas av hackare.

Enligt The Hacker News har Google varnat för att flera hotaktörer offentligt delar attacker som syftar till att utnyttja företagets kalendertjänst för att lagra kommando- och kontrollinfrastruktur (C2).

Verktyget, kallat Google Kalender RAT (GCR), använder programmets händelsefunktioner för att utfärda kommandon och styra det via ett Gmail-konto. Programmet publicerades först på GitHub i juni 2023.

Säkerhetsforskaren MrSaighnal sa att koden skapar en hemlig kanal genom att utnyttja händelsebeskrivningar i Googles kalenderapp. I sin åttonde hotrapport sa Google att de inte har observerat verktyget i praktiken, men noterade att deras hotinformationsenhet Mandiant har upptäckt flera hot som har delat proof-of-concept (PoC)-exploateringar på hemliga forum.

Google säger att GCR körs på en komprometterad maskin, regelbundet skannar händelsebeskrivningar efter nya kommandon, kör dem på målenheten och uppdaterar beskrivningarna med ett kommando. Det faktum att det här verktyget körs på legitim infrastruktur gör det mycket svårt att upptäcka misstänkt aktivitet.

Det här fallet belyser återigen den alarmerande frågan om hot som missbrukar molntjänster för att infiltrera och gömma sig i offrens enheter. Tidigare använde en hackergrupp som påstås vara kopplad till den iranska regeringen dokument som innehöll makrokod för att öppna en bakdörr på Windows-datorer och utfärdade samtidigt kontrollkommandon via e-post.

Google uppgav att bakdörren använde IMAP för att ansluta till webbmailkonton som kontrolleras av hackare, analysera e-postmeddelanden för att extrahera kommandon, köra dem och skicka tillbaka e-postmeddelanden med resultaten. Googles hotanalysteam inaktiverade de Gmail-konton som kontrollerades av angriparna och som skadlig programvara använde som en kanal.