Selon The Hacker News , Google a averti que plusieurs acteurs malveillants partagent des exploits publics qui exploitent son service de calendrier pour héberger une infrastructure de commandement et de contrôle (C2).
L'outil, appelé Google Calendar RAT (GCR), utilise la fonction événements de l'application pour commander et contrôler à l'aide d'un compte Gmail. Ce programme a été publié pour la première fois sur GitHub en juin 2023.
Le chercheur en sécurité MrSaighnal a déclaré que le code crée un canal secret en exploitant les descriptions d'événements dans l'application de calendrier de Google. Dans son huitième rapport sur les menaces, Google a déclaré n'avoir pas observé l'utilisation de l'outil dans la nature, mais a noté que son unité de renseignement sur les menaces Mandiant a détecté plusieurs menaces qui ont partagé des preuves de travail (PoC) sur des forums clandestins.
Google Calendar peut être exploité comme un centre de commande et de contrôle pour les pirates
Google affirme que GCR s'exécute sur une machine compromise, analysant périodiquement la description de l'événement à la recherche de nouvelles commandes, les exécutant sur l'appareil cible et mettant à jour la description avec la commande. Le fait que cet outil fonctionne sur une infrastructure légitime rend difficile la détection d’activités suspectes.
Cette affaire démontre une fois de plus la situation préoccupante des acteurs malveillants qui abusent des services cloud pour s'infiltrer et se cacher sur les appareils des victimes. Auparavant, un groupe de pirates informatiques censé être lié au gouvernement iranien avait utilisé des documents contenant du code macro pour ouvrir une porte dérobée sur des ordinateurs Windows et émettre des commandes de contrôle par courrier électronique.
Google a déclaré que la porte dérobée utilise IMAP pour se connecter à un compte de messagerie Web contrôlé par un pirate, analyse les e-mails à la recherche de commandes, les exécute et renvoie des e-mails contenant les résultats. L'équipe d'analyse des menaces de Google a désactivé les comptes Gmail contrôlés par les attaquants utilisés comme conduits par le malware.
Lien source
Comment (0)