Google Takvim bile artık bilgisayar korsanlarına karşı güvende değil

Bilgisayar korsanlarının Google Takvim’i komuta ve kontrol (C2) altyapısı olarak kullanmanın bir yolunu buldukları ve bunun siber güvenlik camiasında epeyce baş ağrısı yaratabileceği bildiriliyor.

Bugünlerde siber suçlular için en büyük zorluklardan biri, virüs bulaşmış bir uç noktadaki kötü amaçlı yazılımın istedikleri komutları yerine getirmesini nasıl sağlayacaklarıdır.

Bunu yapmak için C2 altyapısına, genellikle de ele geçirilmiş sunuculara ihtiyaç duyarlar, ancak sorun şu ki güvenlik uzmanlarının hileyi keşfetmesi ve bağlantıyı sonlandırması asla uzun sürmez. Ancak C2 altyapısı, örneğin Google Takvim gibi meşru kaynaklardan yararlanıyorsa, siber güvenlik uzmanlarının saldırıyı tespit etmesi ve bağlantıyı sonlandırması çok daha zor olacaktır.

Takvim üzerinden komutları okuma
Şimdi Google, daha geniş güvenlik topluluğunu, böyle bir şey için bir kavram kanıtı (PoC) istismarının karanlık ağda dolaştığı konusunda uyardı. PoC, “Google Calendar RAT” (GCR) olarak adlandırılıyor ve onu oluşturan kişiye göre – takma adı MrSaighnal – komut dosyası, takvimdeki etkinlik açıklamalarından yararlanarak bir “gizli kanal” oluşturacak.
“Hedef doğrudan Google’a bağlanacak.”

Google, bir cihaza GCR bulaştığında, yeni komutlar için Takvim etkinlik açıklamasını periyodik olarak yoklayacağını ve bunları cihazda çalıştıracağını açıkladı. Ardından, olay açıklamasını yeni komut çıktısı ile güncelleyecektir.

Şimdiye kadar hiçbir bilgisayar korsanının GCR’yi kötüye kullandığı görülmedi, ancak bu gibi şeylerle, sadece zaman meselesi.

Bilgisayar korsanları, kötü amaçlı yazılımlar sunmak için meşru bulut hizmetlerini giderek daha fazla kullanıyor. Örneğin, Google Docs, kullanıcıların belgeye bir e-posta adresi yazmasına olanak tanıyan bir paylaşım özelliğine sahiptir ve Google, alıcıya artık dosyaya erişimi olduğunu bildirir.

Bazı tehdit aktörlerinin kötü niyetli bağlantılar içeren dosyalar oluşturduğu ve bunları bu şekilde insanların e-posta gelen kutularına dağıttığı gözlemlenmiştir. E-postalar Google’dan geldiği için, e-posta koruma hizmetlerini atlamışlardır.

 

 

Daha fazla haber için;

YouTube’un yeni genç koruma önlemleri bazı video konularının tekrar tekrar izlenmesini sınırlıyor ve daha fazlası