Google Calendar как инструмент для управления вредоносным ПО

Компания Google предупреждает о возможном злоупотреблении своим собственным сервисом Google Calendar: хакеры, теоретически, могут использовать его для тайной отправки команд вирусному ПО, установленному на компьютере.

Угроза связана с инфраструктурой «управления и контроля», которую хакеры создают для связи со своим вирусным ПО после заражения ИТ-системы. Обычно хакер делает это, высылая команды своему вирусному ПО через так называемый сервер «C2». Но в других случаях преступники могут скрыть свою активность C2, используя легитимные сервисы для размещения своих команд вирусному ПО.

Ранее это включало в себя размещение команд C2 в дешевых или бесплатных облачных сервисах, таких как Dropbox и Amazon Web Services, а также в Google Drive и Gmail. Это может затруднить раскрытие действий хакера антивирусными программами и кибербезопасностью, поскольку все команды C2 для вирусного ПО будут выглядеть как законный трафик.

Теперь Google предупреждает, что их собственный сервис календаря может быть использован для той же цели. В отчете, посвященном будущим угрозам, компания отмечает, что исследователь по кибербезопасности под именем MrSaighnal опубликовал метод проверки концепции, который использует Google Calendar как систему управления и контроля. Концепция под названием Google Calendar RAT (или GCR) работает, размещая команды C2 в описании события записи в Google Calendar. Затем вирусное ПО хакера может периодически подключаться к учетной записи Google Calendar для получения и выполнения таких команд на зараженном компьютере. «По словам разработчика, GCR взаимодействует исключительно через законную инфраструктуру, управляемую Google, что затрудняет обнаружение подозрительной активности защитниками», — добавляется в отчете Google.