Theo The Hacker News, Google đã cảnh báo rằng nhiều tác nhân gây hại đang chia sẻ cách khai thác công khai để tận dụng ứng dụng Calendar của Google để lưu trữ cơ sở hạ tầng và ra lệnh kiểm soát. Công cụ Google Calendar RAT (GCR) được sử dụng để ra lệnh và kiểm soát bằng tính năng sự kiện và tài khoản Gmail.
Theo các nhà nghiên cứu bảo mật MrSaighnal, đoạn mã này tạo ra một kênh bí mật bằng cách khai thác các mô tả sự kiện trong ứng dụng Calendar của Google. Google cho biết, chưa thấy khả năng công cụ này được sử dụng trong thực tế, nhưng đơn vị tình báo các mối đe dọa Mandiant của công ty đã phát hiện một số vấn đề nguy hại đã được chia sẻ bằng chứng khai thác trên các diễn đàn ngầm.
Google cho biết, GCR hoạt động trên một máy tính bị tấn công và định kỳ dò mô tả sự kiện để tìm ra các lệnh mới và thực hiện chúng trên thiết bị mục tiêu, sau đó cập nhật mô tả bằng lệnh. Công cụ này hoạt động hợp pháp nên rất khó để phát hiện những hành động đáng nghi ngờ.
Trước đó, một nhóm hacker được cho là liên kết với chính phủ Iran đã sử dụng các tài liệu chứa đoạn mã macro để mở một cửa hậu (backdoor) trên máy tính Windows và ra lệnh điều khiển qua email.
Google cho biết, backdoor này sử dụng IMAP để kết nối với tài khoản webmail do hacker kiểm soát, thực hiện hành động phân tích email để ra lệnh và gửi lại email có kết quả. Tuy nhiên, các chuyên gia trong nhóm phân tích mối đe dọa của Google đã vô hiệu hóa các tài khoản Gmail do hacker kiểm soát.
