Cercetătorii în securitate cibernetică de la Aikido au descoperit recent o metodă sofisticată prin care atacatorii reușesc să distribuie malware într-un mod extrem de discret și greu de detectat. Această tehnică implică utilizarea invitațiilor trimise prin platforma Google Calendar, un serviciu de încredere, folosit pe larg în mediile personale și profesionale, pentru a atrage victimele către resurse controlate de atacatori în scopul distribuirii de cod rău intenționat, conform unui comunicat de presă emis vineri de DNSC.
Tehnica utilizată de atacatori a fost subiectul unor investigații îndelungate, rezultând în concluzia că modulul os-info-checker-es6 a primit un upgrade, versiunea 1.0.8, care a adus modificări semnificative în fișierul preinstall.js, evidențiind scopul ascuns al codului malițios, conform specialiștilor.
„Prin combinarea unor mecanisme tehnice subtile cu tactici de inginerie socială, atacatorii reușesc să strecoare fișiere periculoase într-un mediu care, la suprafață, pare legitim și inofensiv. Aceasta conturează un scenariu de atac complex și eficient, generând provocări considerabile pentru experții în securitate cibernetică”, a adăugat DNSC.
Cum funcționează atacul
Specialiștii explică faptul că atacatorii au utilizat caractere speciale Unicode din categoria Private Use Area (PUA) pentru a ascunde codul rău intenționat, într-un mod care îl face invizibil în editoarele de text obișnuite.
„Aceste caractere sunt nealocate în standardul Unicode și pot fi folosite pentru a defini simboluri personalizate, fiind astfel ideale pentru mascarea codului. Malware-ul este livrat prin intermediul invitațiilor din Google Calendar care conțin linkuri către fișiere sau pagini controlate de atacatori. Aceste invitații pot părea legitime și pot conține descrieri sau atașamente care, odată accesate, conduc la descărcarea sau execuția codului periculos”, a precizat instituția.
Un exemplu concret este utilizarea unui link către o invitație Google Calendar care conține un șir de caractere de tip base64 în titlul evenimentului. Acest șir de caractere este decodat pentru a accesa pachetul de date real de pe un server extern.
„Utilizarea invitațiilor Google Calendar și a caracterelor Unicode PUA pentru livrarea de malware reprezintă o evoluție semnificativă în tacticile atacatorilor cibernetici. Prin exploatarea platformelor de încredere și utilizarea tehnicilor avansate de mascarea a codului, aceștia reușesc să ocolească măsurile tradiționale de securitate. Este esențial ca utilizatorii și organizațiile să fie vigilenți și să adopte practici de securitate cibernetică robuste pentru a se proteja împotriva acestor amenințări emergente”, a concluzionat DNSC.
