Il panorama della cybersicurezza è in continua evoluzione, con i criminali informatici che affinano costantemente le loro tecniche per eludere le difese e sfruttare servizi digitali ampiamente utilizzati. Una dimostrazione lampante di questa tendenza è un recente attacco malware che utilizza gli inviti di Google Calendar come vettore di infezione, impiegando sofisticate tecniche di offuscamento per nascondere il codice malevolo. Questa minaccia evidenzia come anche piattaforme considerate affidabili possano essere trasformate in strumenti di attacco.

Per chi ha fretta

Un nuovo sofisticato attacco malware sfrutta gli inviti di Google Calendar per diffondersi. Il codice malevolo è nascosto all’interno di pacchetti software (come “os-info-checker-es6”) tramite caratteri Unicode non stampabili (PUA) e codifica Base64, rendendolo difficile da rilevare. Una volta decodificato, il codice comunica con un server esterno tramite gli inviti di Calendar, reindirizzando potenziali vittime a siti di phishing per rubare dati. Google consiglia di abilitare l’impostazione “Solo se il mittente è noto” in Calendar. È fondamentale diffidare degli inviti inaspettati, non cliccare su link sospetti e segnalare attività anomale.

La Sofisticata Tecnica di Offuscamento

La particolarità di questo attacco, individuato dagli analisti di sicurezza di Aikido a marzo 2025, risiede nell’uso di tecniche di offuscamento avanzate per nascondere la presenza del codice malevolo. I ricercatori si sono imbattuti in un pacchetto sospetto nel repository npm (Node Package Manager), denominato “os-info-checker-es6”, apparentemente innocuo e destinato a raccogliere informazioni sul sistema operativo.

Tuttavia, un’analisi più approfondita ha rivelato un dettaglio cruciale: quello che sembrava un semplice carattere di barra verticale (“|”) nel codice in realtà celava al suo interno caratteri Unicode Private Use Area (PUA) invisibili e non stampabili. Questi caratteri, sebbene legittimi nello standard Unicode, sono riservati a usi personalizzati e la loro natura non visualizzabile li rende ideali per occultare informazioni o istruzioni dannose, eludendo i controlli più superficiali.

Una volta decodificati, questi caratteri apparentemente insignificanti si trasformavano in stringhe codificate in Base64. Decodificando ulteriormente queste stringhe, si scopriva che contenevano istruzioni per comunicare con un server di comando e controllo (C&C) esterno e, in modo sorprendente, sfruttavano gli URL degli inviti di Google Calendar per veicolare payload dannosi e indirizzare le vittime verso siti fraudolenti, spesso mirati al furto di credenziali o informazioni finanziarie (phishing).

Gli attaccanti non si sono limitati a un singolo pacchetto; ne hanno creati altri che includevano il dannoso “os-info-checker-es6” come dipendenza, ampliando così la potenziale superficie di attacco.

Google Calendar come Vettore di Attacco: Perché è Efficace

L’utilizzo di Google Calendar come strumento per orchestrare attacchi malware e phishing è una strategia particolarmente efficace per diversi motivi:

• Affidabilità Percepita: Google Calendar è un servizio ampiamente utilizzato e considerato affidabile. Gli utenti tendono a fidarsi delle notifiche e degli inviti che ricevono tramite questa piattaforma.
• Integrazione Automatica: Per impostazione predefinita, Google Calendar aggiunge automaticamente gli inviti ricevuti, anche da mittenti sconosciuti, al calendario dell’utente. Questo espone potenziali vittime all’interazione con eventi malevoli senza una previa accettazione esplicita.
• Diffusione Silenziosa: Gli inviti possono essere inviati a un gran numero di indirizzi email contemporaneamente, raggiungendo potenziali vittime in modo discreto e su larga scala.
• Diversificazione delle Tecniche: Questo attacco dimostra la capacità dei cybercriminali di diversificare i loro vettori, spostandosi dai classici canali email a servizi di produttività quotidiana, rendendo più difficile per gli utenti e i sistemi di sicurezza prevedere e bloccare le minacce.

Interagire con questi inviti malevoli, ad esempio cliccando sui link contenuti nella descrizione dell’evento o accettando l’invito stesso (che potrebbe innescare ulteriori azioni dannose), può portare a gravi conseguenze, tra cui la perdita di dati sensibili, frodi finanziarie e l’installazione di malware.

Come Proteggersi da Attacchi Tramite Google Calendar

Difendersi da attacchi che sfruttano servizi affidabili come Google Calendar richiede un mix di configurazioni di sicurezza e attenzione personale:

• Modifica le Impostazioni di Google Calendar: Questa è la misura più importante. Accedi alle impostazioni di Google Calendar e modifica l’opzione “Aggiungi inviti al mio calendario” selezionando “Solo se il mittente è noto”. Puoi anche scegliere l’opzione “Quando rispondo all’invito nell’email” per avere un controllo ancora maggiore. Questo impedirà l’aggiunta automatica di eventi da parte di sconosciuti.
• Diffida degli Inviti Inaspettati: Sii estremamente cauto riguardo agli inviti a eventi che non ti aspetti, specialmente se provengono da mittenti sconosciuti o con nomi insoliti.
• Non Cliccare su Link Sospetti negli Inviti: Evita categoricamente di cliccare su qualsiasi link contenuto nella descrizione o nei dettagli di un evento di Calendar se non sei assolutamente certo della sua legittimità. Anche se il link sembra collegato a Google Drive, moduli Google o altri servizi affidabili, verifica sempre l’URL prima di cliccare.
• Verifica l’Identità del Mittente: Se l’invito proviene da qualcuno che dovresti conoscere, ma ti sembra strano, verifica l’identità del mittente tramite un canale di comunicazione diverso (ad esempio, una telefonata o un’email separata).
• Mantieni Software Aggiornato: Assicurati che il tuo sistema operativo, i browser web e le applicazioni (inclusi gli strumenti di sicurezza) siano sempre aggiornati. Gli aggiornamenti spesso includono patch per vulnerabilità che potrebbero essere sfruttate.
• Utilizza Soluzioni di Sicurezza Affidabili: Avere un buon antivirus e un software di sicurezza aggiornato sul tuo dispositivo può aiutare a rilevare e bloccare malware.
• Segnala gli Inviti Sospetti: Utilizza la funzione “Segnala come spam” in Google Calendar per segnalare inviti indesiderati o sospetti. Questo aiuta Google a identificare e contrastare le campagne malevole.
• Sii Consapevole delle Tecniche di Offuscamento: Anche se non sei un esperto tecnico, essere consapevole che i criminali possono nascondere codice dannoso in modi inaspettati (come caratteri invisibili) può aumentare la tua attenzione.

Cosa Fare in Caso di Sospetta Esposizione o Infezione

Se ritieni di essere stato preso di mira da questo attacco, o se hai interagito con un invito sospetto e temi di essere stato compromesso:

• Non Cliccare Ulteriormente: Evita qualsiasi ulteriore interazione con l’invito o eventuali link associati.
• Rimuovi l’Evento dal Calendario: Elimina l’evento sospetto dal tuo Google Calendar. Se utilizzi un’applicazione di calendario diversa sincronizzata con Google Calendar, verifica che l’evento sia stato rimosso anche lì.
• Esegui una Scansione Antivirus: Effettua una scansione completa del tuo dispositivo utilizzando un software antivirus aggiornato per rilevare e rimuovere eventuali malware.
• Cambia le Password: Se hai cliccato su un link e sei finito su una pagina in cui ti sono state richieste credenziali (anche se non le hai inserite), considera di cambiare le password degli account potenzialmente a rischio, in particolare il tuo account Google e altri servizi importanti.
• Monitora le Attività dell’Account Google: Controlla la cronologia delle attività del tuo account Google per individuare accessi o azioni sospette.
• Controlla Movimenti Finanziari: Se hai fornito dati finanziari o credenziali bancarie, monitora attentamente i tuoi conti per individuare transazioni non autorizzate.
• Segnala l’Accaduto: Segnala l’invito a Google tramite la funzione “Segnala come spam”. Se hai subito perdite finanziarie o temi un furto d’identità, considera di presentare una denuncia alla Polizia Postale.

La costante innovazione nelle tecniche di attacco richiede un impegno altrettanto costante nella sicurezza informatica, sia a livello di piattaforme che di comportamenti individuali.

#checkblacklist #cybersecurity #phishing #malware