Wintech - A sua fonte diária de informação tecnológica - Malware usa Google Calendar para controlar dispositivo

: Por João Fernandes; Jun. 03, 2025

Investigadores da Google revelaram recentemente a descoberta de uma nova variante de malware, batizada de ToughProgress, que utiliza o Google Calendar como servidor de comando e controlo (C2) – um método inovador, discreto e altamente fiável para estabelecer ligações entre infraestruturas maliciosas e dispositivos comprometidos. Esta técnica foi atribuída ao grupo APT41, uma conhecida operação de ciberespionagem com ligações ao Estado chinês.

Segundo o relatório publicado, assim que o ToughProgress é executado num sistema comprometido, o malware cria um evento de calendário com duração de zero minutos, datado de 30 de maio de 2023. Neste evento, é inserida uma descrição contendo dados recolhidos no dispositivo infetado, previamente encriptados para dificultar a deteção e análise.

O funcionamento do malware baseia-se na utilização de eventos calendarizados em datas pré-definidas - neste caso, 30 e 31 de julho de 2023 - onde os operadores colocam comandos encriptados nas descrições dos eventos. O ToughProgress verifica (ou polls) regularmente o Google Calendar em busca destes eventos. Quando deteta um, descodifica a instrução e executa-a no sistema infetado. Os resultados dessa execução são, por sua vez, encriptados e armazenados num novo evento de calendário, fechando assim o ciclo de comunicação sem levantar suspeitas.

Embora o uso de serviços em nuvem como infraestrutura de C2 não seja novo, a escolha do Google Calendar representa uma nova e preocupante evolução. "O abuso de serviços cloud para fins maliciosos é uma técnica amplamente usada por agentes de ameaça, precisamente porque se mistura facilmente com tráfego legítimo", alertam os investigadores da Google. Casos anteriores envolveram o uso indevido de plataformas como Microsoft, Dropbox e até Instagram para funções semelhantes.

Este tipo de abordagem apresenta um sério desafio para as equipas de segurança, que se veem obrigadas a monitorizar não só acessos a websites maliciosos, mas também atividades nefastas que decorrem dentro de serviços aparentemente legítimos e confiáveis.

O grupo APT41, identificado como sendo apoiado pelo governo chinês, é um dos principais responsáveis por ataques cibernéticos ligados a espionagem e roubo de dados. De acordo com os investigadores, o grupo tem utilizado serviços gratuitos para alojar cargas maliciosas desde, pelo menos, agosto do ano passado. Foram registados casos em que enviaram links com payloads a centenas de alvos espalhados por diversos setores e regiões geográficas. Um dos métodos preferenciais do grupo tem sido o uso de domínios associados à plataforma Cloudflare Workers para esconder as suas operações.

Esta descoberta sublinha a urgência em reforçar as capacidades de deteção de ameaças dentro de plataformas cloud, mesmo aquelas amplamente utilizadas e de confiança, como o Google Calendar. A inovação dos atacantes exige um esforço contínuo por parte das equipas de cibersegurança para antecipar e neutralizar estratégias cada vez mais furtivas e criativas.

Classifique este item

(0 votos)

Ler 277 vezes

Tagged em

malware,
Google Calendar,

Itens relacionados

Novo framework de Malware "Cloud-Native" ataca sistemas Linux
Jun. 03, 2025
Routers antigos da D-Link sob ataque para desvio de tráfego DNS
Jun. 03, 2025
500 mil novos ficheiros maliciosos por dia e ataques ao Windows disparam
Jun. 03, 2025