O Google Adverte Como Hackers Podem Abusar do Serviço de Calendário como um Canal C2 Oculto
6 de Novembro de 2023

Os serviços de calendário do Google estão sendo explorados por atores maliciosos, que compartilham um exploit público de prova de conceito (PoC) chamado Google Calendar RAT (GCR).

O GCR usa os eventos do Google Calendar para criar uma infraestrutura de comando e controle (C2) através de uma conta do Gmail.

Este exploit, que foi lançado em junho de 2023 no GitHub, cria um "Canal Oculto" ao explorar as descrições dos eventos no Google Calendar, de acordo com seu criador e pesquisador, MrSaighnal.

A vítima acaba por se conectar diretamente ao Google sem perceber.

Apesar da gigante de tecnologia ainda não ter observado o uso desta ferramenta fora do laboratório, em seu oitavo relatório do Threat Horizons, informou que a Mandiant, uma unidade de inteligência de ameaças, detectou a partilha do PoC em fóruns clandestinos.

O GCR funciona verificando as descrições dos eventos do calendário em busca de novos comandos e executando-os no dispositivo alvo.

O script também atualiza a descrição dos eventos com os resultados dos comandos.

A principal dificuldade em detectar essa atividade é que a GCR opera exclusivamente em uma infraestrutura legítima.

Este cenário ressalta o interesse contínuo de atores de ameaças em utilizar os serviços em nuvem para se infiltrar em ambientes protegidos e realizar atividades maliciosas sem serem detectados.

Por exemplo, um ator de estado-nação iraniano foi flagrado usando documentos com macros para comprometer usuários com um backdoor .NET codinome BANANAMAIL para Windows que utiliza email para C2.

De acordo com o Google, este backdoor se conecta a uma conta de webmail controlada pelo atacante para verificar e-mails em busca de comandos, executá-los e enviar um e-mail com os resultados.

O Google, por meio de seu Grupo de Análise de Ameaças, desativou as contas do Gmail controladas pelo atacante que eram usadas pelo malware.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...