Los ciberdelincuentes están siempre buscando nuevas formas de diversificar y expandir su arsenal de herramientas. Pero nunca dejan de sorprender a los usuarios. Esta vez, están apuntando a una de las plataformas menos esperadas como su nuevo objetivo.
Sí, Google Calendar es ahora la vía por la cual los hackers se infiltran en los dispositivos de los usuarios y acceden a su información personal. Así lo revela el informe de ciberseguridad de Threat Horizons Q3 2023.
Así es como los hackers están robando datos a través de Google Calendar. Según el informe Threat Horizons Q3 2023, los hackers han utilizado Google Calendar para acceder a los dispositivos de los usuarios. La forma de operar de esta nueva amenaza cibernética es mediante el control y el comando de malware (C2).
Básicamente, los hackers colocan comandos en las descripciones de los eventos del calendario que luego ejecutan en el dispositivo, creando así una manera de robar datos de las computadoras de los usuarios en línea.
De esta forma, los ciberdelincuentes evitan el tener que crear sus propias infraestructuras para llevar a cabo sus operaciones criminales y, en su lugar, utilizan servicios legítimos en la nube.
En este caso en particular, los hackers utilizaron el código de prueba llamado Google Calendar RAT (GCR), que fue publicado hace 5 meses por un desarrollador independiente en Github. Esta herramienta les permite insertar comandos en el campo de descripción de los eventos.
La preocupación crece ya que el informe destaca que el código utilizado por los hackers es difícil de rastrear, ya que se aprovecha de la infraestructura legítima de Google.
No es la primera vez que se ha registrado un ataque de control y comando de malware (C2) en servicios de almacenamiento en la nube. En 2021, Cisco Talos, una empresa especializada en ciberseguridad, informó del uso de Microsoft Azure y Amazon Web Service para ejecutar malware capaz de robar información.
El gigante tecnológico también reportó un ataque similar en abril de 2023. El Grupo de Análisis de Amenazas de Google (TAG) descubrió que un actor respaldado por China utilizó scripts de PowerShell maliciosos para acceder a Dropbox y robar datos.
Google afirma en el informe Threat Horizons correspondiente al tercer trimestre de 2023 que no ha detectado ningún caso de implementación de Google Calendar RAT (GCR) para infiltrarse en dispositivos. Sin embargo, la amenaza está latente.
La empresa estadounidense de ciberseguridad Mandiant ha identificado que el código del RAT ha sido compartido en varios foros clandestinos, lo que indica un creciente interés por parte de los ciberdelincuentes.