Gli hacker cinesi usano Google Calendar per comandare i virus

Il gruppo di hacker cinese APT41, noto per le sue campagne di attacco molto sofisticate, ha utilizzato Google Calendar come piattaforma di comando e controllo per diffondere un pericoloso malware chiamato ToughProgress. L’attacco sfrutta la fiducia degli utenti nei servizi cloud di Google, rendendo particolarmente difficile il rilevamento delle attività dannose.

Il Threat Intelligence Group di Google ha scoperto questa nuova campagna e ha agito rapidamente per neutralizzare l’infrastruttura compromessa. Non è la prima volta che APT41 utilizza i servizi di Google: in passato, il gruppo aveva già sfruttato Google Sheets e Drive in una campagna malware denominata Voldemort.

Anatomia dell’attacco

La catena di infezione inizia con una email ingannevole contenente un link a un archivio ZIP ospitato su un sito governativo compromesso. All’interno dell’archivio si trovano tre file chiave: un file LNK mascherato da PDF, un payload primario nascosto in un’immagine JPG e una libreria DLL progettata per decifrare ed eseguire il payload.

Secondo i ricercatori di Google, i file denominati “6.jpg” e “7.jpg” sono falsi: il primo contiene un payload crittografato, mentre il secondo è una DLL che, una volta attivata tramite il file LNK, decripta e avvia il payload. Il componente PlusDrop sblocca ed esegue PlusInject, che utilizza la tecnica di process hollowing per iniettare il malware ToughProgress in processi Windows legittimi come svhost.exe.

Il malware comunica con un endpoint predefinito di Google Calendar, ricevendo istruzioni nascoste nelle descrizioni degli eventi. Dopo aver eseguito i comandi, ToughProgress trasmette i risultati creando nuovi eventi nel calendario, consentendo agli attaccanti di pianificare le fasi successive dell’attacco in modo invisibile.

L’aspetto più insidioso di ToughProgress è l’utilizzo di servizi cloud legittimi per le comunicazioni di comando e controllo e l’impiego di payload che non lasciano tracce sul disco. Queste tecniche avanzate rappresentano una sfida significativa per le attuali strategie di cybersecurity, evidenziando la necessità di strumenti e approcci sempre più sofisticati per proteggere le infrastrutture digitali moderne.

Google risponde all’attacco

In risposta a questa minaccia, Google ha adottato una serie di misure per proteggere i suoi utenti. Tutti gli account Google Workspace e gli eventi Calendar controllati dagli hacker sono stati disattivati. Inoltre, l’azienda ha aggiornato la blocklist di Google Safe Browsing per bloccare il traffico proveniente dai siti compromessi.

Pur mantenendo riservati i dettagli sui bersagli specifici, Google ha collaborato con Mandiant (società del gruppo Alphabet che si occupa di cyber sicurezza) per notificare direttamente le vittime. Sono stati condivisi campioni del malware e log di traffico per aiutare le organizzazioni a identificare eventuali infezioni e rafforzare le loro difese.

La campagna di APT41 sottolinea come i gruppi di hacker stiano evolvendo le loro tecniche per sfruttare piattaforme fidate come Google Calendar, dimostrando che nessun servizio è immune da abusi.