Les pirates informatiques trouvent toujours de nouvelles façons d’éviter d’être détectés et maintenant, ils ont trouvé un moyen d’exploiter Google Agenda dans leurs attaques.
Comme le rapporte L’actualité des hackersGoogle a averti que plusieurs cybercriminels ont partagé un exploit de preuve de concept (PoC) qui leur permet d’utiliser son service de calendrier pour héberger leur infrastructure de commande et de contrôle (C2).
Pour ceux qui ne le connaissent pas, C2 (également connu sous le nom de C&C) fait généralement référence à un serveur contrôlé par des pirates informatiques et utilisé par les cybercriminels pour envoyer des commandes et recevoir des données d’ordinateurs compromis par des logiciels malveillants. Dans ce cas cependant, ce nouvel exploit PoC permet aux pirates d’utiliser Google Calendar comme infrastructure C2, tout comme ils l’ont fait avec Discorde, Télégramme et d’autres services légitimes dans le passé.
Heureusement, Google n’a pas encore observé l’utilisation de cet exploit dans la nature, mais il a été partagé récemment sur plusieurs sites. forums de piratage, ce qui signifie que nous pourrions voir des attaques l’exploiter ou des tactiques similaires à l’avenir.
Google Agenda RAT
L’outil lui-même s’appelle Google Calendar RAT (GCR) et nécessite un compte Gmail pour utiliser les événements de Google Calendar.
Dans un publier sur GitHubla chercheuse Valeria Alessandromi (également connue sous le nom de MrSaighnal en ligne) qui a créé l’outil, a expliqué qu’il crée un « canal secret » que les pirates peuvent utiliser dans leurs attaques en exploitant les descriptions d’événements dans Google Calendar.
Afin d’utiliser GCR à des fins C2, un attaquant devrait créer un compte de service Google, puis obtenir le fichier identifiants.json de ce compte, qui doit être placé dans le même répertoire qu’un script malveillant. À partir de là, il aurait alors pour créer un nouvel événement Google Calendar et le partager avec le compte de service et modifier le script malveillant pour pointer vers l’adresse du calendrier. Une fois cela fait, un attaquant pourrait exécuter des commandes en utilisant le champ de description de l’événement dans Google Calendar.
Ce qui rend GCR si préoccupant, c’est qu’un cheval de Troie d’accès à distance comme celui-ci fonctionnant sur une infrastructure cloud légitime sera beaucoup plus difficile à détecter pour les entreprises et les chercheurs en sécurité. Contrôles de sécurité des e-mails et même le meilleur logiciel antivirus pourrait manquer des liens vers ces événements du calendrier, qui pourraient ensuite être transmis aux victimes potentielles sans être signalés comme malveillants.
Les pirates utilisent un certain nombre d’astuces différentes pour éviter d’être détectés, mais avec GCR et des exploits similaires, ils n’ont pas à craindre d’être découverts.
Comment se protéger des nouvelles méthodes d’attaque
De nouvelles méthodes d’attaque sont publiées chaque jour et, même si les pirates informatiques les utilisent souvent pour s’attaquer à des cibles plus larges comme les entreprises, elles peuvent également être utilisées contre des personnes ordinaires. C’est pourquoi vous devez toujours être très prudent lorsque vous traitez des liens et des documents provenant de personnes que vous ne connaissez pas en ligne.
Par exemple, si quelqu’un que vous ne connaissez pas partage un fichier avec vous via Gmail ou Google Drive, vous ne devriez pas vous précipiter pour l’ouvrir. Au lieu de cela, vous devez réfléchir attentivement au fichier lui-même et aux raisons pour lesquelles cette personne en particulier peut le partager avec vous. Un logiciel antivirus peut vous aider à gérer documents malveillants tandis que le meilleurs services de protection contre le vol d’identité peut vous aider à récupérer les fonds perdus à cause de la fraude ainsi que votre identité en cas de vol.
Outre ces conseils, vous renseigner sur les dernières tactiques utilisées par les pirates informatiques et les cybercriminels peut vous aider à rester en sécurité en ligne. Outre des histoires comme celle-ci, il peut également être judicieux de se plonger dans les articles de blog et les rapports publiés par des sociétés de cybersécurité comme Bitdefender, Malwarebytes, Tendance Micro et d’autres grands acteurs du domaine. Heureusement, ils ont tous leur propre blog qui est régulièrement mis à jour avec de nouvelles recherches.
Google Agenda et d’autres services Google sont aussi utiles pour les gens ordinaires qu’ils pourraient l’être pour les pirates informatiques dans leurs attaques. C’est pourquoi nous continuerons probablement à voir des histoires de cybercriminels inventant de nouvelles façons d’en abuser pour leur propre profit.