Selon The Hacker News , Google a averti que plusieurs acteurs malveillants partagent des exploits publics qui exploitent son service de calendrier pour héberger une infrastructure de commandement et de contrôle (C2).
L'outil, appelé Google Calendar RAT (GCR), utilise la fonction événements de l'application pour commander et contrôler à l'aide d'un compte Gmail. Ce programme a été publié pour la première fois sur GitHub en juin 2023.
Le chercheur en sécurité MrSaighnal a déclaré que le code crée un canal secret en exploitant les descriptions d'événements dans l'application de calendrier de Google. Dans son huitième rapport sur les menaces, Google a déclaré ne pas avoir observé l'utilisation de l'outil dans la nature, mais a noté que son unité de renseignement sur les menaces Mandiant a détecté plusieurs menaces qui ont partagé des preuves de travail (PoC) sur des forums clandestins.
Google Agenda peut être exploité comme un centre de commande et de contrôle pour les pirates informatiques
Google affirme que GCR s'exécute sur une machine compromise, analysant périodiquement la description de l'événement à la recherche de nouvelles commandes, les exécutant sur l'appareil cible et mettant à jour la description avec la commande. Le fait que cet outil fonctionne sur une infrastructure légitime rend très difficile la détection d’activités suspectes.
Cette affaire démontre une fois de plus l’utilisation inquiétante des services cloud par les acteurs malveillants pour s’infiltrer et se cacher sur les appareils des victimes. Auparavant, un groupe de pirates informatiques soupçonné d'être lié au gouvernement iranien avait utilisé des documents contenant du code macro pour ouvrir une porte dérobée sur des ordinateurs Windows et émettre des commandes de contrôle par courrier électronique.
Google a déclaré que la porte dérobée utilise IMAP pour se connecter à un compte de messagerie Web contrôlé par un pirate, analyse les e-mails à la recherche de commandes, les exécute et renvoie des e-mails contenant les résultats. L'équipe d'analyse des menaces de Google a désactivé les comptes Gmail contrôlés par les attaquants utilisés comme conduits par le malware.
Lien source
![[Photo] Des feux d'artifice illuminent le ciel de Ho Chi Minh-Ville 50 ans après le jour de la Libération](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/4/30/8efd6e5cb4e147b4897305b65eb00c6f)
![[Photo] Régalez vos yeux avec des images de défilés et de groupes de marche vus d'en haut](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/4/30/3525302266124e69819126aa93c41092)
Comment (0)