ATENȚIE din partea Autorității de Securitate Cibernetică: Pericol major – Malware distribuit prin Google Calendar
Directoratul Naţional de Securitate Cibernetică (DNSC) a emis o avertizare cu privire la o tehnică sofisticată prin care atacatorii reuşesc să distribuie malware într-un mod extrem de discret şi greu de detectat. Metoda constă în utilizarea invitaţiilor trimise prin platforma Google Calendar, un serviciu de încredere, utilizat pe scară largă în mediile personale şi profesionale.
Cercetătorii în securitate cibernetică de la Aikido au identificat recent această tehnică, constatând că atacatorii reuşesc să atragă victimele către resurse controlate de ei, în scopul distribuirii de cod rău intenţionat. Potrivit specialiştilor, tehnica a făcut obiectul unor investigaţii îndelungate, iar concluziile au arătat că modulul os-info-checker-es6 a fost actualizat la versiunea 1.0.8, aducând modificări semnificative în fişierul preinstall.js, care evidenţiază scopul ascuns al codului maliţios.
Prin combinarea unor mecanisme tehnice subtile cu tactici de inginerie socială, atacatorii reuşesc să strecoare fişiere periculoase într-un mediu care, la prima vedere, pare legitim şi inofensiv. Aceasta conturează un scenariu de atac complex şi eficient, generând provocări considerabile pentru experţii în securitate cibernetică.
Specialiştii explică faptul că atacatorii utilizează caractere speciale Unicode din categoria Private Use Area (PUA) pentru a ascunde codul rău intenţionat într-un mod care îl face invizibil în editoarele de text obişnuite. Aceste caractere, nealocate în standardul Unicode, pot defini simboluri personalizate, fiind astfel ideale pentru mascarea codului.
Malware-ul este livrat prin intermediul invitaţiilor din Google Calendar, care conţin linkuri către fişiere sau pagini controlate de atacatori. Aceste invitaţii pot părea legitime, conţinând descrieri sau ataşamente care, odată accesate, conduc la descărcarea sau execuţia codului periculos. Un exemplu practic este utilizarea unui link către o invitaţie Google Calendar, care include un şir de caractere de tip base64 în titlul evenimentului. Acest şir este decodat pentru a accesa pachetul de date real de pe un server extern.
Utilizarea invitaţiilor Google Calendar şi a caracterelor Unicode PUA pentru livrarea de malware reprezintă o evoluţie semnificativă în tacticile atacatorilor cibernetici. Prin exploatarea platformelor de încredere şi utilizarea tehnicilor avansate de mascare a codului, aceştia reuşesc să ocolească măsurile tradiţionale de securitate. Este esenţial ca utilizatorii şi organizaţiile să fie vigilenţi şi să adopte practici de securitate cibernetică robuste pentru a se proteja împotriva acestor ameninţări emergente.
