Google Threat Intelligence rapporte que APT41, des cyberpirates chinois, ont ingénieusement transformé Google Calendar en centre de commande et de contrôle pour communiquer en toute discrétion avec leur malware.
Le 28 mai, Google révélait qu’une attaque de la part du groupe APT41 avait ciblé plusieurs grosses entreprises et organisations, en passant par son application Google Calendar. Les victimes ont reçu, comme c’est bien souvent le cas, un e-mail contenant un fichier Zip, hébergé sur un site gouvernemental piraté. Une fois extrait, le fichier aux airs de PDF cache en réalité un raccourcis Windows. En tentant de l’ouvrir, les utilisateurs piégés installent malgré eux un malware sur leur PC.
Calendar, tour de contrôle
De son nom Thoughprogress, le logiciel malveillant répertorié en fichier DDL (très courant sous Windows et donc souvent utilisé pour les attaques de ce type) passe inaperçu, déjouant ainsi les antivirus de l’ordinateur. Mais là où les cybercriminels font preuve d’innovation, c’est dans leur utilisation de Google Calendar en tant que tour de contrôle et messager codé. Il faut dire qu’avec ses millions d’utilisateurs par jour et son service cloud, l’application peut donner des idées pour passer à travers les mailles du filet. Les outils de détection de malware ne s’attendent pas à une attaque avec des tâches si classiques comme la création d’événement dans un logiciel autorisé et utilisé aussi massivement.
Concrètement, Thoughprogress s’y connecte, piloté à distance. Les pirates peuvent ensuite créer des événements pour y glisser des instructions codées comme voler telles données critiques, trouver ce document sensible, installer un autre malware, etc. Et Thoughprogress répond de la même manière pour communiquer avec les auteurs de ces attaques. Google Calendar est donc ainsi devenu un centre de commande et de contrôle.
Les victimes sont des grandes entreprises, des médias, des gouvernements, géolocalisés en Europe et en Asie. Google a déjà supprimé les comptes et calendriers piratés, déployé une mise à jour de ses outils de détection et alerté les entreprises et organisations ciblées.
