I calendari digitali sono da tempo un modo pratico per tenere sotto controllo le attività quotidiane, ma una nuova ricerca di Bitsight dimostra che questo strumento familiare può trasformarsi in un vero e proprio canale di attacco.
I ricercatori di Bitsight hanno scoperto oltre 390 domini abbandonati associati alla sincronizzazione di iCalendar, che ricevevano richieste giornaliere da circa 4 milioni di dispositivi iOS e macOS. Chiunque registri nuovamente questi domini ottiene la possibilità di aggiungere furtivamente eventi ai calendari degli utenti, completi di link, file e qualsiasi altro contenuto.
Il problema è che le iscrizioni a calendari di terze parti vengono solitamente create con un solo clic, per festività, calendari di eventi, sconti o promemoria delle app. Ma la comodità comporta anche dei rischi: gli aggressori possono creare un’infrastruttura che induce gli utenti ad abbonarsi ai loro “aggiornamenti”.
Da quel momento in poi, il dispositivo inizia automaticamente, senza l’intervento del proprietario, ad accedere regolarmente al dominio, ricevendo nuovi file .ics. Se il dominio viene registrato nuovamente dai criminali informatici, il calendario inizia a visualizzare promemoria intrusivi, link di phishing, false notifiche su software antivirus o VPN , ovvero qualsiasi cosa che possa invogliare la vittima a cliccare.
Gli esperti hanno scoperto centinaia di domini di questo tipo, molti dei quali erano collegati a milioni di indirizzi IP univoci. Le richieste provenivano chiaramente non da nuovi abbonamenti, ma da vecchi calendari dimenticati, ad esempio quelli con festività in vari paesi. Il semplice dirottamento del dominio avrebbe immediatamente creato un “canale di distribuzione” per un numero enorme di dispositivi.
Allo stesso tempo, Bitsight ha scoperto un’intera infrastruttura progettata per distribuire in massa abbonamenti dannosi: siti web hackerati caricavano di nascosto script offuscati che reindirizzavano i visitatori a false pagine CAPTCHA. Lì, le vittime venivano convinte a cliccare su “Consenti“, apparentemente per superare una procedura di verifica, ma in realtà questo attivava direttamente un abbonamento a notifiche push o eventi del calendario. Queste catene di reindirizzamento utilizzavano spesso domini .biz e .bid ed erano collegate alla famigerata campagna malware Balada Injector .
Questo non era l’unico schema. I ricercatori hanno trovato file APK e documenti PDF che conducevano alle stesse catene. Le app Android si camuffavano da giochi, sparivano dopo l’avvio e aprivano gli URL desiderati tramite WebView. I file PDF contenevano minuscoli URL che conducevano alle stesse pagine false. L’intera infrastruttura era ben organizzata: decine di servizi di hosting, centinaia di domini, migliaia di APK, certificati condivisi e una rete interconnessa di reindirizzamenti.
Nonostante l’entità del problema, la protezione è praticamente inesistente. Le soluzioni MDM non possono impedire agli utenti di aggiungere i propri abbonamenti o persino di visualizzare quelli esistenti. Scansioni, filtri e analisi antivirus sono tutti ben sviluppati per la posta elettronica, ma sono praticamente inesistenti per i calendari, che sono percepiti come uno strumento presumibilmente sicuro.
Bitsight raccomanda a utenti e aziende di controllare regolarmente gli abbonamenti attivi, di trattare link e allegati negli eventi con la stessa cautela delle email, di implementare una policy per l’utilizzo di calendari di terze parti e, ove possibile, di bloccare gli abbonamenti sospetti a livello di rete. Ma la misura più importante è aumentare la consapevolezza: un calendario non è solo uno strumento comodo, ma un altro potenziale vettore di attacco attivamente sfruttato dai criminali informatici oggi. Comprendere le tecniche di ingegneria sociale aiuterà a contrastare tali minacce.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
