كشفت مجموعة جوجل لاستخبارات التهديدات (GTIG)، أن تقويم جوجل استُخدم كقناة اتصال من قِبل مجموعة من المتسللين لاستخراج معلومات حساسة من الأفراد.
وفي أكتوبر 2024، اكتشف قسم الأمن السيبراني في شركة التكنولوجيا العملاقة موقعًا إلكترونيًا حكوميًا مُخترقًا، ووجد أنه يُستخدم لنشر برمجيات خبيثة، وبمجرد إصابة الجهاز، يُنشئ البرنامج الخبيث منفذًا خلفيًا باستخدام تقويم جوجل، مما يسمح للمُشغّل باستخراج البيانات، وقد قامت مجموعة جوجل بالفعل بتعطيل حسابات التقويم والأنظمة الأخرى التي استخدمها المتسللون.
وفصّل فريق GTIG طريقة نشر البرمجية الخبيثة ، وكيفية عملها، والإجراءات التي اتخذها فريق جوجل لحماية المستخدمين ومنتجاتها ، ويُقال إن المخترق المرتبط بهذا الهجوم هو APT41، المعروفة أيضًا باسم HOODOO، وهي جماعة تهديد يُعتقد أنها مرتبطة بالحكومة الصينية.
وكشف تحقيق أجرته GTIG أن APT41 استخدمت أسلوب التصيد الاحتيالي الموجه لإيصال البرامج الضارة إلى الأهداف ، والتصيد الاحتيالي الموجه هو شكل مستهدف من التصيد الاحتيالي، حيث يُخصّص المهاجمون رسائل بريد إلكتروني لأفراد محددين.
واحتوت هذه الرسائل الإلكترونية على رابط لملف ZIP مُستضاف على الموقع الإلكتروني الحكومي المُخترق ، وعندما فتح شخصٌ الملف، أظهر ملف اختصار LNK (.lnk)، مُموّهًا ليبدو كملف PDF، بالإضافة إلى مجلد.
واحتوى هذا المجلد على سبع صور JPG لمفصليات (حشرات وعناكب، إلخ). لكن GTIG لفتت إلى أن المدخلين السادس والسابع هما صورتان وهميتان تحتويان في الواقع على حمولة مشفرة وملف مكتبة ارتباط ديناميكي (DLL) لفك تشفير الحمولة.
وعندما يضغط الهدف على ملف LNK، يُفعّل كلا الملفين ، ومن المثير للاهتمام أن ملف LNK يُحذف تلقائيًا ويُستبدل بملف PDF مزيف يُعرض للمستخدم ، ويُشير هذا الملف إلى ضرورة الإعلان عن الأنواع المعروضة للتصدير، وذلك على الأرجح لإخفاء محاولة الاختراق وتجنب إثارة الشكوك.
وبمجرد إصابة الجهاز بالبرمجيات الخبيثة، تعمل على ثلاث مراحل مختلفة، حيث تُنفّذ كل مرحلة مهمةً بالتسلسل ، وقد بيّنت GTIG أن جميع المراحل الثلاث تُنفّذ باستخدام تقنيات تخفي متنوعة لتجنب الكشف.