Google ha emitido una advertencia acerca de la existencia de múltiples actores de amenazas que están compartiendo una prueba de concepto (PoC) de un exploit público que aprovecha el servicio de Google Calendar para alojar una infraestructura de comando y control (C2).
La herramienta utilizada para ello ha sido denominada «Google Calendar RAT» (GCR) y se basa en el uso de eventos de Google Calendar para establecer una comunicación C2 a través de una cuenta de Gmail. Sorprendentemente, esta herramienta se hizo pública por primera vez en junio de 2023 en GitHub.
El creador e investigador detrás de esta amenaza, que se identifica en línea como MrSaighnal, explica que su script crea un «canal encubierto» explotando las descripciones de eventos en Google Calendar. El objetivo es que el atacante pueda establecer una conexión directa a través de Google, lo que dificulta su detección por parte de los defensores.
A pesar de la publicación de esta herramienta en GitHub, Google ha informado en su octavo informe de Horizontes de Amenazas que no ha observado su uso en situaciones reales. Sin embargo, la unidad de inteligencia de amenazas de Mandiant, ha detectado la compartición de la PoC en foros clandestinos, lo que aumenta la preocupación sobre su potencial uso malicioso.
El funcionamiento de GCR se basa en que la máquina comprometida periódicamente verifica la descripción de eventos en el calendario de Google en busca de nuevos comandos. Una vez que se identifican estos comandos, se ejecutan en el dispositivo objetivo, y luego se actualiza la descripción del evento con la salida del comando. Este método de operación basado exclusivamente en el uso de infraestructura legítima dificulta aún más la detección de actividad sospechosa por parte de los equipos de seguridad.
El informe de Google también destaca la continua tendencia de los actores de amenazas en el abuso de servicios en la nube para ocultarse en entornos de víctimas y evitar ser detectados. Esto incluye a un actor estatal iraní que ha sido observado empleando documentos con macros para comprometer a usuarios a través de un pequeño backdoor .NET denominado BANANAMAIL diseñado para Windows, el cual utiliza el correo electrónico como canal de comunicación para C2.
«El backdoor utiliza el protocolo IMAP para conectarse a una cuenta de correo web controlada por el atacante, donde analiza correos electrónicos en busca de comandos, los ejecuta y envía un correo electrónico de vuelta con los resultados».
Señaló Google.
Google ha respondido desactivando las cuentas de Gmail controladas por el atacante que se utilizaron como conducto para este malware.
Créditos: