Google es advertencia de múltiples actores de amenazas que comparten un exploit de prueba de concepto (PoC) público que aprovecha su servicio Calendar para alojar la infraestructura de comando y control (C2).
La herramienta, llamada RAT del Calendario de Google (GCR), utiliza Google Calendar Events para C2 usando una cuenta de Gmail. Era primera publicación en GitHub en junio de 2023.
«El script crea una ‘cadena secreta’ aprovechando las descripciones de eventos en Google Calendar», según su desarrollador e investigador, que se hace llamar MrSaighnal en línea. «El objetivo se conectará directamente con Google».
El gigante tecnológico, en su octavo informe Horizontes de Amenazasdijo que no había observado el uso de la herramienta en la naturaleza, pero señaló que su unidad de inteligencia de amenazas Mandiant había observado que PoC se compartía en foros clandestinos.
«GCR, que se ejecuta en una máquina comprometida, sondea periódicamente la descripción del evento del calendario en busca de nuevos comandos, ejecuta esos comandos en el dispositivo de destino y luego actualiza la descripción del evento con el resultado del comando», dijo Google.
El hecho de que la herramienta se ejecute exclusivamente en infraestructura legítima dificulta que los defensores detecten actividades sospechosas, añade.
Este desarrollo resalta el continuo interés de los actores maliciosos en abusar de los servicios en la nube para mezclarse con los entornos de las víctimas y pasar desapercibidos.
Esto incluye a un actor estatal iraní que fue descubierto usando documentos macro para comprometer a los usuarios con una pequeña puerta trasera .NET llamada BAANAMAIL para Windows que usa correo electrónico para C2.
«La puerta trasera utiliza IMAP para conectarse a una cuenta de correo web controlada por un atacante, donde analiza los comandos de los correos electrónicos, los ejecuta y devuelve un correo electrónico con los resultados», dijo Google.
El grupo de análisis de amenazas de Google dijo que desde entonces deshabilitó las cuentas de Gmail controladas por los atacantes y utilizadas por el malware como conducto.
También te puede interesar
-
La red social Butterflies AI agrega una función que te convierte en un personaje de IA
-
Capture cada momento como un profesional con la cámara más potente del Galaxy Z Flip hasta el momento – Samsung Newsroom México
-
Epiroc lanza un nuevo equipo de perforación de producción de pozos largos
-
Caroline Doherty está satisfecha con los resultados del Leaving Cert de los estudiantes de Moville
-
En imágenes: gran revuelo en la jornada de puertas abiertas de los apicultores de Laois – Página 1 de 9