Google Agenda pourrait rapidement devenir un redoutable outil dans l’arsenal des cybercriminels et une épine dans le pied des professionnels de cybersécurité. La firme de Mountain View alerte de l’existence d’un script preuve de concept qui exploite une faille du calendrier Google.
Voilà qui pourrait causer davantage de pannes Google Agenda : la célèbre application de calendrier pourrait bientôt être utilisée par les cybercriminels. Pour ces derniers, le plus grand défi actuel consiste à ce que les malware installés sur une machine infectée exécutent les commandes qu’ils désirent.
Pour ce faire, ils ont besoin d’une infrastructure C2, généralement des serveurs compromis. Problème, il ne faut généralement pas longtemps aux professionnels de cybersécurité pour les découvrir et mettre fin à leur accès. Mais si l’infrastructure C2 utilise des ressources légitimes, comme Google Calendar par exemple, les experts ont beaucoup plus de mal à détecter l’attaque et à y mettre fin.
Google Calendar devient un redoutable outil de piratage
Hier, Google avertissait les professionnels de cybersécurité de l’existence d’un script preuve de concept, qui actuellement fait l’objet de nombreuses discussions sur les forums du dark web. Ce programme prouvant la faille de l’Agenda est baptisé “Google Calendar RAT” (GCR).
À lire > Google Agenda : cette nouvelle option va optimiser votre organisation
“Le script crée un Canal secret en exploitant les descriptions d’événements dans Google Calendar“, selon son développeur Valerio Alessandroni, connu sous le pseudonyme de MrSaighnal. “La cible se connectera ensuite directement à Google.” Lorsqu’un appareil est infecté par GCR, il interroge périodiquement la description d’un événement dans Google Agenda pour trouver de nouvelles commandes et les exécuter sur l’appareil, explique Google. Le script met ensuite à jour la description de l’événement avec de nouvelles commandes.
Le fait que l’outil fonctionne exclusivement sur des infrastructures légitimes le rend difficile à la détection par les moyens de sécurité habituels. Jusqu’à présent, GCR n’a pas encore été observé dans la nature, mais vu les remous qu’il crée sur le Dark Web, ce n’est qu’une question de temps avant qu’il n’apparaisse selon Google.
À lire > Google Agenda : ce nouveau réglage va clarifier votre emploi du temps
Les pirates utilisent de plus en plus des services cloud légitimes pour diffuser des malware. Google Docs dispose par exemple d’une fonction de partage qui permet aux utilisateurs de taper une adresse mail pour informer le destinataire qu’il a désormais accès à l’édition d’un fichier.
La distribution de Google Docs avec des liens malveillants dans les boîtes de réception a été observée maintenant à plusieurs reprises. Comme les courriels proviennent de Google, ils contournent les services de protection.
