Google a émis un avertissement concernant son service Google Calendar. Le géant de la technologie affirme que les pirates pourraient abuser secrètement de ce service et envoyer des commandes à un logiciel malveillant imprimé sur un ordinateur.
Cette menace concerne une infrastructure de « commande et contrôle » créée par des pirates informatiques pour communiquer avec des logiciels malveillants après avoir infecté un système informatique.
Selon Google, les pirates exploiteront ce service de calendrier en envoyant des commandes au malware via un serveur « C2 ». Dans certains cas, les pirates masqueront leur activité C2 en utilisant des services légitimes pour héberger des commandes sur le malware.
Les pirates déploient des logiciels malveillants à l'aide de Google Agenda
Auparavant, les pirates hébergeaient les commandes C2 à l'aide de services cloud bon marché ou gratuits tels que Dropbox et Amazon Web Services, Google Drive et Gmail. Cette action empêche les programmes antivirus et les professionnels de la cybersécurité de découvrir les activités d'un pirate informatique, car les commandes C2 envoyées au malware sembleront légitimes.
Google prévient désormais qu'unexploit similairepourrait être fait sur ses services de calendrier. La société a publié un rapport faisant référence à unétude de validation de principepar un chercheur en cybersécurité utilisant Google Calendar comme serveur C2.
Le PoC est connu sous le nom de Google Calendar RAT et fonctionne en plaçant les commandes C2 dans un événement imitant une entrée de Google Calendar. Le malware du pirate informatique se connectera ensuite au compte Google pour récupérer et exécuter des commandes sur l’appareil infecté.
Le rapport de Google indiquait que, selon le développeur, GCR communiquerait exclusivement en utilisant une infrastructure légitime exploitée par Google. Le processus a également rendu difficile la détection des activités suspectes pour les défenseurs de logiciels disponibles.
Aucune attaque détectée
La société n'a détecté aucun pirate informatique utilisant Google Calendar pour distribuer des logiciels malveillants en hébergeant des commandes C2. Cependant, Google rapporte que plusieurs acteurs de la menace ont partagé publiquement leurs recherches de validation de principe sur des forums du Dark Web. Cela montre l’intérêt accru de ces hackers pour les abus.services cloudet potentiellement provoquer une attaque.
Le rapport publié par Google sur cette attaque mentionne également certains moyens par lesquels les utilisateurs peuventatténuer ces attaques et éliminer toute menace potentielle. Cependant, aucune solution simple ne peut garantir que les acteurs malveillants n’accéderont pas aux systèmes informatiques utilisant cette attaque.
Google a exhorté les entreprises à surveiller correctement leurs réseaux pour détecter toute activité inhabituelle. Les utilisateurs doivent créer des « références pour le trafic réseau » et s’assurer que les professionnels de la cybersécurité peuvent détecter et gérer toute activité suspecte à temps.