La notificación en el Calendario de Google con la que cualquiera puede hackear tu correo
Los piratas cibernéticos han descubierto una nueva manera de hackear tu cuenta de correo utilizando Google Calendar.
Google advierte de la existencia de múltiples amenazas cibernéticas que utilizan una prueba de concepto (PoC) pública y aprovechan su servicio de agenda Calendar para alojar infraestructura de mando y control (C2) en lugar que crear las propias (algo que vuelve estos ataques más fáciles de detectar que utilizando un programa legítimo). Esta nueva amenaza, conocida como Google Calendar RAT (GCR), emplea eventos ficticios de Google Calendar como C2, utilizando una cuenta de correo de Gmail. Esta nueva forma de operar se publicó por primera vez en GitHub en el mes de junio de 2023.
El script, disponible para cualquier usuario, "crea un canal encubierto, aprovechando las descripciones de eventos de Google Calendar", explica su desarrollador e investigador Valerio Alessandroni, conocido en Internet como MrSaighnal. "El objetivo del ataque es conectarse directamente a Google". Por su parte, Google afirma en su octavo "Informe de horizontes de amenazas" que aún no ha observado que este tipo de ciberataque se difunda ampliamente en la red, pero señaló que Mandiant, la división encargada de detectar amenazas, ha encontrado que dicho PoC ya se comparte en foros clandestinos.
Este tipo de ataque cibernético se le conoce como Deceptive Calendar Events Virus, o "virus de eventos de calendario engañosos", ya que suele aparecer en la app de calendario precisamente como un evento legítimo, con información o enlaces puestos ahí por los mismos hackers. En el caso del Google Calendar RAT, al ejecutarse sondea el calendario en busca de nuevos eventos con comandos, los ejecuta en tu equipo y nuevamente actualiza la descripción de los eventos para continuar el ciclo de comandos sin que te des cuenta. Debido a que funciona exclusivamente en un programa legítimo, es más difícil que sea detectado por un antivirus o por el mismo usuario. Los usuarios pueden a su vez recibir correos de notificación de la parte de Google, muchas veces con enlaces de acceso a documentos relativos a la supuesta reunión programada en el calendario, los cuales suelen incluir malware.
Lo nuevos ataques cibernéticos ahora están aprovechando los servicios de la nube para mezclarse con los entornos de las víctimas y pasar desapercibidos. Por lo general, este tipo de eventos engañosos incorporan un backdoor .NET, por ejemplo, el conocido como BANANAMAIL para Windows. La unidad de análisis de amenazas de Google informó de que ya ha desactivado las cuentas de Gmail controladas por los atacantes que el malware utilizaba como conducto. Sin embargo, es necesario tener en cuenta que este tipo de ciberataques se vuelven cada vez más comunes, por lo cual deberás poner atención a tus eventos de Google y eliminar o reportar cualquier entrada que te parezca sospechosa, evitando así que los hackers accedan a tus datos o a tus correos electrónicos.