Di tutte le app o i programmi che avrebbero potuto finire nel mirino degli hacker informatici, nessuno si sarebbe aspettato che ci finisse Google Calendar. E invece proprio su questa innocua applicazione Google sta mettendo in guardia i suoi utenti.
Anche perché c’è uno strumento preciso che sfrutta Calendar per trasferire i tuoi dati fuori dal tuo device.
Scatta l’allerta su Google Calendar
In un recente messaggio cloud, Google mette in guardia contro diversi autori di minacce informatiche. Questi stanno condividendo un exploit pubblico proof-of-concept (PoC) utilizzando proprio il servizio Calendar per ospitare l’infrastruttura di comando e controllo (C2).
Lo strumento in questione si chiama Google Calendar RAT (GCR). Pubblicato per la prima volta su GitHub nel giugno 2023, come si può intuire dal nome, utilizza Google Calendar Events per C2 utilizzando un account Gmail. In pratica lo script crea un ‘Canale nascosto‘ sfruttando le descrizioni degli eventi in Google Calendar, così da collegarsi direttamente a Google.
Va detto però che nel rapporto Threat Horizons (ottava edizione) Google non ha osservato l’uso dello strumento nella pratica. Ha solo sottolineato che la sua unità di intelligence ha rilevato diversi autori di minacce che condividono il PoC su forum clandestini.
Mettere in sicurezza i cloud
Purtroppo, più la tecnologia si sviluppa, e più aumenta la sicurezza, a sua volta gli hacker si ingegnano e trovano misure alternative per superare le attuali barriere di protezione. Se si pensa ancora alla lotta tra Gmail e le email spam, si può intendere quanto profonda sia la guerra per la tutela dei propri utenti.
Lo sviluppo di queste tecnologie evidenzia il continuo interesse degli autori delle minacce ad abusare dei servizi cloud per mimetizzarsi con gli ambienti delle vittime e passare inosservati. Sempre il report di Thread Horizon ha notato come GCR utilizzi infrastrutture legittime, il che rende difficile per gli addetti alla sicurezza informatica rilevare attività sospette.
Il Threat Analysis Group di Google ha però dichiarato di aver disabilitato gli account Gmail controllati dagli aggressori che venivano utilizzati dal malware come canale. Il che è già un fatto positivo, anche se la guerra continua.
