Un raport al cercetătorilor de la Aikido Security relevă o tehnică sofisticată de livrare a codului malițios prin intermediul invitațiilor aparent inofensive din Calendarul Google, ceea ce face ca detectarea acestuia să fie extrem de dificilă, subiniază DNSC.
Această formă de atac este deosebit de periculoasă deoarece exploatează un serviciu legitim, frecvent utilizat în scopuri personale și profesionale. Utilizatorii pot fi atrași prin tactici de inginerie socială să interacționeze cu invitații de calendar care conțin linkuri către fișiere sau site-uri malițioase, deghizate inteligent în resurse de încredere.
DNSC despre atac: Unicode invizibil și invitații insidioase
Potrivit specialiștilor, atacatorii folosesc module compromise din pachete software, cum este cazul modulului „os-info-checker-es6” actualizat la versiunea 1.0.8. Acesta conține modificări în fișierul preinstall.js care ascund cod malițios, greu de depistat prin analiză superficială. Un element-cheie al acestui atac este folosirea caracterelor Unicode din zona Private Use Area (PUA), ce nu sunt vizibile în mod normal în editoarele de text și care permit mascarea eficientă a codului rău intenționat.
Această tehnică este completată de trimiterea de invitații prin Google Calendar care includ linkuri sau șiruri base64 în titlul evenimentelor. La decodare, aceste șiruri conduc utilizatorii către servere externe controlate de atacatori, unde este livrat malware-ul propriu-zis. Scenariul este cu atât mai periculos cu cât invitațiile pot părea autentice, venind din surse aparent cunoscute.
Ce pot face utilizatorii: măsuri de prevenție recomandate
Pentru a evita compromiterea sistemelor, DNSC recomandă utilizatorilor mai multe măsuri esențiale de protecție. În primul rând, este recomandată o vigilență sporită față de orice invitație Google Calendar primită de la expeditori necunoscuți sau suspecte din punct de vedere al conținutului. În setările Google Calendar, utilizatorii ar trebui să seteze opțiunea de adăugare automată a invitațiilor doar de la persoane cunoscute.
În plus, este indicat ca organizațiile să implementeze și să monitorizeze constant indicatorii de compromitere (IoC) în infrastructura lor IT, pentru a identifica tentativele de atac în faze incipiente. Actualizarea regulată a aplicațiilor și a sistemelor de operare, aplicarea patch-urilor de securitate și instruirea angajaților cu privire la riscurile de phishing și inginerie socială sunt alte elemente-cheie pentru prevenirea atacurilor.
O nouă etapă în evoluția amenințărilor cibernetice
Utilizarea platformelor de încredere precum Google Calendar pentru distribuirea de malware semnalează o evoluție îngrijorătoare în tactica grupurilor de atacatori cibernetici. DNSC avertizează că acest tip de atac combină perfect exploatarea vulnerabilităților tehnice cu manipularea psihologică a utilizatorului. Acest tip de amenințare ridică provocări majore pentru sistemele tradiționale de protecție, subliniind nevoia unei culturi solide de securitate cibernetică atât în rândul utilizatorilor individuali, cât și la nivel organizațional.
„Este esențial ca utilizatorii să fie informați și să adopte practici sigure. Exploatarea serviciilor de încredere și mascarea avansată a codului rău intenționat creează un context în care vigilența este mai importantă ca niciodată”, avertizează DNSC.
