Como bien ha informado la propia Google (vía TheHackerNews), parece que ahora Google Calendar es un servicio con un potencial interés para los piratas informáticos, aunque por ahora no parece que le estén dando mucho uso. Siendo más concretos, los de Mountain View han compartido una advertencia recientemente que habla sobre la existencia de varios actores de amenazas que están compartiendo una prueba de concepto (PoC) de un exploit público que aprovecha el mencionado Calendar para alojar una infraestructura de comando y control (C2).
La herramienta que mencionamos y que parece que ya circula por la red más profunda ha sido llamada “Google Calendar RAT” (GCR) y esta emplea los eventos para poder establecer una comunicación C2 a través de una cuenta de Gmail. Según la persona responsable de esta amenaza, el cual se hace llamar MrSaighnal, este script es capaz de crear un “canal encubierto” explotando las descripciones de eventos en Google Calendar, lo que hace que el atacante pueda establecer una conexión directa a través de Google, como indica el causante de la amenaza. Por lo tanto, con esta herramienta es muy difícil que los equipos de seguridad puedan detectar la amenaza.
Google Calendar puede convertirse en una herramienta importante para los piratas informáticos
Este GCR funciona basándose en que la máquina comprometida periódicamente verifica la descripción de eventos en el calendario de Google para buscar nuevos comandos. Cuando estos se identifican, se ejecutan en el dispositivo en cuestión, como bien informan desde la propia Google. Asimismo, también se indica que, una vez que este se ejecuta, se actualiza la descripción del evento con la salida del citado comando.
Como decíamos antes, parece que este GCR no se ha empleado a día de hoy, al menos así lo ha informado Google. Ahora bien, con esto circulando por la red, parece cuestión de tiempo que alguien intente aprovecharlo. De hecho, la unidad de inteligencia de amenazas de Mandiant ya ha detectado que esta herramienta se ha ido compartiendo a través de foros clandestinos.
Google Calendar su suma a otros servicios legítimos como vía para los piratas informáticos a la hora de distribuir malware, como es el caso de Google Docs. Este dispone de una función para compartir, la cual deja escribir una dirección de correo electrónico en el documento y así les notifica al destinatario que tiene acceso al archivo. De hecho, se ha podido observar como se creaban archivos con enlaces maliciosos y se distribuían a través de las bandejas de entrada de correo electrónico de los usuarios. Evidentemente, como esos correos llegaban por parte de Google, muchos usuarios eludieron los servicios de protección de correo electrónico.
