Experţii Directoratului Naţional pentru Securitate Cibernetică avertizează asupra unui risc cu impact ridicat de malware livrat prin Google Calendar

Un malware este livrat prin intermediul invitaţiilor din Google Calendar care conţin linkuri către fişiere sau pagini controlate de către hackeri, avertizează experţii Directoratului Naţional pentru Securitate Cibernetică (DNSC), într-un articol postat, vineri, pe site-ul instituţiei.

„Cercetătorii în securitate cibernetică de la Aikido au identificat recent o tehnică sofisticată prin care atacatorii reuşesc să distribuie malware într-un mod extrem de discret şi greu de detectat. Metoda constă în utilizarea invitaţiilor trimise prin platforma Google Calendar, un serviciu de încredere, larg utilizat în mediile personale şi profesionale, pentru a atrage victimele către resurse controlate de atacatori în scopul distribuirii de cod rău intenţionat. Tehnica utilizată de atacatori a făcut obiectul unor investigaţii de lungă durată până la momentul când s-a concluzionat că modulul os-info-checker-es6 a primit un upgrade, respectiv versiunea 1.0.8 care a adus modificări semnificative în fişierul preinstall.js, ce evidenţiază scopul ascuns al codului maliţios. Prin combinarea unor mecanisme tehnice subtile cu tactici de inginerie socială, atacatorii reuşesc să strecoare fişiere periculoase într-un mediu care, la suprafaţă, pare legitim şi inofensiv, conturând astfel un scenariu de atac complex şi eficient, ce generează provocări considerabile pentru experţii în securitate cibernetică”, se menţionează în material.

Potrivit sursei citate, atacatorii au utilizat caractere speciale Unicode din categoria Private Use Area (PUA), pentru a ascunde codul rău intenţionat într-un mod care îl face invizibil în editoarele de text obişnuite.

„Malware-ul este livrat prin intermediul invitaţiilor din Google Calendar care conţin linkuri către fişiere sau pagini controlate de atacatori. Aceste invitaţii pot părea legitime şi pot conţine descrieri sau ataşamente care, odată accesate, duc la descărcarea sau execuţia codului periculos. Atacatorii creează evenimente în Calendar şi invită ţinte neavizate prin intermediul funcţionalităţii integrate de trimitere automată a invitaţiilor. În câmpurile de titlu, descriere sau locaţie ale evenimentului, aceştia inserează linkuri către fişiere sau website-uri controlate de atacatori. Aceste linkuri duc către resurse care pot conţine malware descărcabil sau care execută cod în browser (ex. cod JavaScript mascat), eventual declanşând exploit-uri la nivel de sistem sau phishing”, notează specialiştii.

Aceştia subliniază că hackerii utilizează un cod periculos, mascat, folosind caractere Unicode PUA, adică simboluri care nu sunt atribuite niciunui caracter vizibil în standardul Unicode şi care, de regulă, sunt ignorate de editoarele de text şi motoarele de analiză. „Această strategie de camuflare face ca porţiuni importante din cod să fie invizibile pentru dezvoltatori sau analişti de securitate, dacă aceştia nu folosesc instrumente speciale de inspecţie binară sau decodare a acestor caractere”, explică reprezentanţii DNSC.

Pe fondul acestui nou tip de ameninţare online, experţii în securitate cibernetică vin cu o serie de recomandări generale: fiţi precauţi cu invitaţiile nesolicitate sau suspecte în Google Calendar; activaţi opţiunea „Adăugaţi automat invitaţii” doar de la expeditori cunoscuţi în setările Google Calendar; aplicaţi şi monitorizaţi indicatorii de compromitere (IoC) în cadrul sistemelor de securitate, pentru a detecta o potenţială compromitere şi pentru a depista din timp tentativele de exploatare a vulnerabilităţii; menţineţi actualizate toate aplicaţiile şi sistemele de operare pentru a beneficia de cele mai recente patch-uri de securitate; informaţi-vă cu privire la metodele de phishing şi alte tehnici de inginerie socială.