Según The Hacker News , Google ha advertido que varios actores de amenazas están compartiendo exploits públicos que aprovechan su servicio de calendario para alojar la infraestructura de comando y control (C2).
La herramienta, llamada Google Calendar RAT (GCR), utiliza la función de eventos de la aplicación para ordenar y controlar mediante una cuenta de Gmail. Este programa se publicó por primera vez en GitHub en junio de 2023.
El investigador de seguridad MrSaighnal dijo que el código crea un canal encubierto al explotar las descripciones de eventos en la aplicación de calendario de Google. En su octavo Informe de Amenazas, Google afirmó que no ha observado que la herramienta se utilice en la práctica, pero señaló que su unidad de inteligencia de amenazas Mandiant ha detectado varias amenazas que han compartido pruebas de trabajo (PoC) en foros clandestinos.
Google Calendar puede ser utilizado como centro de comando y control por piratas informáticos
Google dice que GCR se ejecuta en una máquina comprometida, escaneando periódicamente la descripción del evento en busca de nuevos comandos, ejecutándolos en el dispositivo de destino y actualizando la descripción con el comando. El hecho de que esta herramienta funcione en una infraestructura legítima dificulta la detección de actividad sospechosa.
Este caso demuestra una vez más el preocupante uso de los servicios en la nube por parte de actores de amenazas para infiltrarse y ocultarse en los dispositivos de las víctimas. Anteriormente, un grupo de piratas informáticos que se cree estaban vinculados al gobierno iraní utilizaron documentos que contenían códigos macro para abrir una puerta trasera en computadoras con Windows y emitir comandos de control por correo electrónico.
Google dijo que la puerta trasera utiliza IMAP para conectarse a una cuenta de correo web controlada por un hacker, analiza los correos electrónicos en busca de comandos, los ejecuta y envía correos electrónicos con los resultados. El equipo de análisis de amenazas de Google ha desactivado las cuentas de Gmail controladas por los atacantes que el malware utiliza como conducto.
Enlace de origen
Kommentar (0)