Con il suo ultimo rapporto Threat Horizons, Google ha voluto lanciare l’allarme per quanto riguarda una nuova minaccia informatica.
Si tratta di un exploit proof-of-concept (PoC) chiamato Google Calendar RAT, sfruttato come sistema di comando e controllo (C2). A rendere particolarmente allarmante questo agente malevolo è il fatto che lo stesso, pubblicato a giugno su GitHub, ha già ottenuto ben 15 varianti.
Google non ne ha osservato la diffusione online al di fuori di appositi test sandbox, ma ha notato che più utenti stanno condividendo Google Calendar RAT sui forum dei criminali informatici, il che indica un certo interesse nel contesto del cybercrimine. Sebbene il colosso informatico abbia agito prontamente, contrastando questo sistema di infezione, non è detto che altre varianti più aggressive possano presto vedere la luce.
Per Matt Shelton, responsabile della ricerca e analisi delle minacce presso Google Cloud “Ciò che stiamo vedendo accadere è che invece di utilizzare nodi C2 dedicati, come in passato, gli autori delle minacce stanno sfruttando i servizi cloud per nascondersi in background“. Shelton ha poi precisato come “Ogni servizio cloud potrebbe essere utilizzato da un utente malintenzionato per abusare degli utenti“.
Google Calendar RAT può essere l’avvisaglia di un nuovo e preoccupante trend
Il sistema ideato dai cybercriminali in questo contesto è di certo frutto di una notevole inventiva. Google Calendar RAT, infatti, sfrutta un’infrastruttura cloud legittima, il che rende molto difficile identificare e prevenire questo tipo di attacco.
Il già citato Matt Shelton, a tal proposito, consiglia alle aziende di concentrarsi su un monitoraggio basato sulle anomalie “Quando sviluppi una strategia di rilevamento all’interno della tua organizzazione, devi davvero pensare alla ricerca di anomalie e attività che entrano nel tuo sistema“.
Lo stesso puntualizza come il futuro della sicurezza informatica, dovrà presto fare i conti con situazioni simili “Quello che vedremo nel prossimo anno, credo, saranno nuovi modi di utilizzare i servizi cloud per scopi illegittimi“.