Google Agenda est récemment devenu l’objet d’une menace de cybersécurité préoccupante. Les développeurs de logiciels malveillants auraient conçu une méthode pour les exploiter au sein d’une infrastructure de commande et de contrôle (C2). Un cheval de Troie Google Calendar (RAT) de preuve de concept est apparu sur GitHub et circule dans les forums de piratage clandestins. Google est pleinement conscient de cet exploit de preuve de concept et a émis un avertissement concernant ses dangers potentiels.
MrSaighnal, utilisateur de GitHub et membre d’un collectif de hackers italiens, a mis en lumière cette vulnérabilité en publiant un référentiel appelé « GCR Google Calendar Rat » en juin 2023. Un RAT, ou cheval de Troie d’accès à distance, est un logiciel malveillant qui permet à des personnes non autorisées de prendre le contrôle à distance de l’appareil d’une victime.
La description du référentiel indique : « Google Calendar RAT est un PoC de commande et de contrôle (C2) sur les événements de Google Calendar. Cet outil a été développé pour les circonstances où il est difficile de créer une infrastructure d’équipe rouge complète. Pour utiliser GRC, seul un compte Gmail est requis. Le script crée un « canal secret » en exploitant les descriptions d’événements dans Google Agenda. La cible se connectera directement à Google. Il pourrait être considéré comme une application Covert Channel de couche 7. «
Le script tire parti des descriptions d’événements dans Google Agenda pour créer un canal secret qui établit une connexion directe aux serveurs de Google. Bien que Google n’ait pas observé l’utilisation de cet outil dans la nature, il le considère comme une menace suffisamment importante pour l’inclure dans son rapport Threat Horizons du troisième trimestre.
Google Agenda est un service de confiance, permettant à des activités malveillantes de se cacher dans son trafic réseau.
Ce qui rend le Google Calendar RAT particulièrement insidieux, c’est qu’il utilise une infrastructure légitime pour héberger un réseau C2. La création d’un canal secret est un élément clé de l’infrastructure C2. Les acteurs malveillants ont besoin que l’appareil compromis communique avec une entité externe pour contrôler et exfiltrer les données. Dans le cas de cet outil, il exploite les descriptions d’événements dans Google Agenda pour établir ce canal secret.
Le référentiel GitHub décrit le flux de travail de l’attaque GCR. Tout d’abord, l’attaquant place une commande dans le champ de description de l’événement de Google Calendar. Ensuite, la cible se connecte à Google Agenda et recherche périodiquement de nouvelles commandes. Lors de la mise à jour de Google Agenda, la cible récupère la commande et l’exécute. La cible met ensuite à jour les descriptions d’événements avec le résultat de la commande, et l’attaquant récupère ce résultat.
Ce Google Calendar RAT sournois et intelligent pourrait être un signe des choses à venir dans le monde de la cybersécurité. La reconnaissance de la menace par Google met en évidence sa gravité. Cependant, cet outil n’est qu’une preuve de concept en Python, et le référentiel GitHub indique explicitement : « C’EST JUSTE UN POC EN PYTHON, VEUILLEZ NE ME DEMANDER PAS COMMENT L’ARMER ! »
