Google Calendar este folosit de atacatori, avertizează DNSC. La ce „invitații” trebuie să fim atenți
Directoratul Naţional de Securitate Cibernetică avertizează, vineri, cu privire la o tehnică sofisticată prin care atacatorii reuşesc să distribuie malware într-un mod extrem de discret şi greu de detectat.
Metoda constă în utilizarea invitaţiilor trimise prin platforma Google Calendar.
„Cercetătorii în securitate cibernetică de la Aikido au identificat recent o tehnică sofisticată prin care atacatorii reuşesc să distribuie malware într-un mod extrem de discret şi greu de detectat. Metoda constă în utilizarea invitaţiilor trimise prin platforma Google Calendar, un serviciu de încredere, larg utilizat în mediile personale şi profesionale, pentru a atrage victimele către resurse controlate de atacatori în scopul distribuirii de cod rău intenţionat”, a transmis, vineri, DNSC, într-un comunicat de presă.
Tehnica utilizată de atacatori a făcut obiectul unor investigaţii de lungă durată până la momentul când s-a concluzionat că modulul os-info-checker-es6 a primit un upgrade, respectiv versiunea 1.0.8 care a adus modificări semnificative în fişierul preinstall.js, ce evidenţiază scopul ascuns al codului maliţios, potrivit specialiştilor.
„Prin combinarea unor mecanisme tehnice subtile cu tactici de inginerie socială, atacatorii reuşesc să strecoare fişiere periculoase într-un mediu care, la suprafaţă, pare legitim şi inofensiv, conturând astfel un scenariu de atac complex şi eficient, ce generează provocări considerabile pentru experţii în securitate cibernetică”, a mai transmis DNSC.
Cum funcționează
Specialiştii explică faptul că atacatorii au utilizat caractere speciale Unicode din categoria Private Use Area (PUA), pentru a ascunde codul rău intenţionat într-un mod care îl face invizibil în editoarele de text obişnuite.
„Aceste caractere sunt nealocate în standardul Unicode şi pot fi folosite pentru a defini simboluri personalizate, fiind astfel ideale pentru mascarea codului (...) Malware-ul este livrat prin intermediul invitaţiilor din Google Calendar care conţin linkuri către fişiere sau pagini controlate de atacatori. Aceste invitaţii pot părea legitime şi pot conţine descrieri sau ataşamente care, odată accesate, duc la descărcarea sau execuţia codului periculos”, a mai transmis isntituţia.
Un exemplu este utilizarea unui link către o invitaţie Google Calendar care, la rândul său, conţine un şir de caractere de tip base64 în titlul evenimentului.
Acest şir de caractere este decodat pentru a accesa pachetul de date real de pe un server extern.
„Utilizarea invitaţiilor Google Calendar şi a caracterelor Unicode PUA pentru livrarea de malware reprezintă o evoluţie semnificativă în tacticile atacatorilor cibernetici. Prin exploatarea platformelor de încredere şi utilizarea tehnicilor avansate de mascare a codului, aceştia reuşesc să ocolească măsurile tradiţionale de securitate. Este esenţial ca utilizatorii şi organizaţiile să fie vigilenţi şi să adopte practici de securitate cibernetică robuste pentru a se proteja împotriva acestor ameninţări emergente”, a mai transmis DNSC.
