Niezwykle popularny Kalendarz Google może stać się narzędziem w rękach cyberprzestępców. Hakerzy opracowali bowiem nową metodę ataku, wykorzystująca pola tekstowe zawarte w usłudze.
Google Calendar RAT – nowe narzędzie hakerów atakuje Kalendarz Google
Firma opublikowała nowy raport Q3 Threat Horizons, w którym ostrzega przed najnowszymi trendami wśród hakerów i ich aktywnością. Jak informują autorzy, nowym zagrożeniem mogą być „cyberprzestępcy potencjalnie wykorzystujący Kalendarz Google”.
Internetowi oszuści mieli wymieniać się eksperymentalnymi próbkami kodu na platformie Github. Autor metody posługuje się pseudonimem MrSaighnal i nazwał ją „Google Calendar RAT (GCR)”. RAT to skrót od Remote Administration Tool – narzędzia te pozwalają na zdalne przejęcie kontroli i sterowanie systemem. Według doniesień kod może być użyty jako infrastruktura C2, czyli Command and Control.
Jak wynika z opisu metody, kod pozwala na stworzenie ukrytego kanału komunikacji przez wykorzystanie opisów wydarzeń w Kalendarzu Google. Następnie przestępcy mogą umieszczać w polu tekstowym komendy do wykonania.
Wirus GCR ma zaś regularnie sprawdzać opisy i wykonywać polecenia na zainfekowanym komputerze. Po wykonaniu złośliwej akcji program zmodyfikuje też opis wydarzenia, aktualizując go o nowe komendy.
Wirus w Kalendarzu Google – przestępcy wykorzystują usługi firmy
Jak wynika z raportu, GCR nie został jeszcze wykorzystany w realnych atakach. Prototyp od pewnego czasu krąży jednak po forach w dark webie, a ostatnio został też upubliczniony na ogólnodostępnym Githubie. Wydaje się więc, że wprowadzenie metody w życie może być jedynie kwestią czasu.
Wykrycie nowego zagrożenia może być wyjątkowo trudne, bo kod jest wykonywany pod osłoną zupełnie legalnego programu, jakim jest Kalendarz. MrSaighnal dodaje, że ofiara „łączy się bezpośrednio z Google”, co może znacząco opóźnić wykrycie podejrzanych komend.
Wykorzystanie usług Google to coraz popularniejsza metoda ataku. Wcześniej hakerzy rozpowszechniali bowiem zawirusowane pliki za pomocą Dokumentów Google. Złośliwe linki stworzone w aplikacji były udostępniane na maila ofiary. Jako że wiadomość z powiadomieniem pochodziła bezpośrednio od renomowanej firmy, omijano tak zabezpieczenia skrzynki pocztowej przed wirusami czy oszustwami.
Czytaj też:
Rosyjscy hakerzy z kolejnym atakiem na Polskę. Oto celeCzytaj też:
GHOSTPULSE i koniec. Hakerzy atakują Windowsa