Potrivit specialiștilor, metoda constă în utilizarea invitațiilor trimise prin platforma Google Calendar, pentru a atrage victimele către resurse controlate de atacatori în scopul distribuirii de cod rău intenționat.
"Tehnica utilizată de atacatori a făcut obiectul unor investigații de lungă durată până la momentul când s-a concluzionat că modulul os-info-checker-es6 a primit un upgrade, respectiv versiunea 1.0.8 care a adus modificări semnificative în fișierul preinstall.js, ce evidențiază scopul ascuns al codului malițios.
Prin combinarea unor mecanisme tehnice subtile cu tactici de inginerie socială, atacatorii reușesc să strecoare fișiere periculoase într-un mediu care, la suprafață, pare legitim și inofensiv, conturând astfel un scenariu de atac complex și eficient, ce generează provocări considerabile pentru experții în securitate cibernetică", au transmis, vineri, reprezentanții DNSC.
Potrivit sursei citate, atacatorii au utilizat caractere speciale Unicode din categoria Private Use Area (PUA), pentru a ascunde codul rău intenționat într-un mod care îl face, practic, invizibil în editoarele de text obișnuite. Aceste caractere sunt nealocate în standardul Unicode și pot fi folosite pentru a defini simboluri personalizate, fiind astfel ideale pentru mascarea codului.
Livrarea prin Invitații Google Calendar
Malware-ul este livrat prin intermediul invitațiilor din Google Calendar care conțin linkuri către fișiere sau pagini controlate de atacatori. Aceste invitații pot părea legitime și pot conține descrieri sau atașamente care, odată accesate, duc la descărcarea sau execuția codului periculos.
Un exemplu în acest swens este utilizarea unui link către o invitație Google Calendar care, la rândul său, conține un șir de caractere de tip base64 în titlul evenimentului. Acest șir de caractere este decodat pentru a accesa pachetul de date real de pe un server extern.
Recomadările specialiștilor
Având în vedere riscurile la care se expun, specialiștii fac o serie de recomandări.
- Fiți precauți cu invitațiile nesolicitate sau suspecte în Google Calendar.
- Activați opțiunea "Adăugați automat invitații" doar de la expeditori cunoscuți în setările Google Calendar.
- Aplicați și monitorizați indicatorii de compromitere (IoC) în cadrul sistemelor de securitate, pentru a detecta o potențială compromitere și pentru a depista din timp tentativele de exploatare a vulnerabilității.
- Mențineți actualizate toate aplicațiile și sistemele de operare pentru a beneficia de cele mai recente patch-uri de securitate.
- Informați-vă și educați-vă cu privire la metodele de phishing și alte tehnici de inginerie socială.
"Utilizarea invitațiilor Google Calendar și a caracterelor Unicode PUA pentru livrarea de malware reprezintă o evoluție semnificativă în tacticile atacatorilor cibernetici. Prin exploatarea platformelor de încredere și utilizarea tehnicilor avansate de mascare a codului, aceștia reușesc să ocolească măsurile tradiționale de securitate. Este esențial ca utilizatorii și organizațiile să fie vigilenți și să adopte practici de securitate cibernetică robuste pentru a se proteja împotriva acestor amenințări emergente", atrag atenția reprezentanții DNSC.
