Attenzione al “I am not a robot”: la trappola malware che usa Google Calendar

Una nuova minaccia si aggira, usando la nostra più grande debolezza: l’abitudine.

Quante volte, infatti, capita di ritrovarsi a cliccare su caselle di verifica senza pensarci due volte? Ora, pare che i malintenzionati abbiano creato una nuova campagna malware, che utilizza finti CAPTCHA per indurre l’utente a eseguire comandi sul proprio pc. Insomma, è come se l’utente fosse stato raggirato e, senza rendersene conto, avesse aperto la porta dei propri dati a degli sconosciuti.

L’attacco non si limita a un semplice clic, ma richiede una manipolazione manuale da parte della vittima, un dettaglio che rende l’infezione particolarmente efficace nel superare le difese costruite per rilevare minacce ovvie.

Tutto inizia con un messaggio di ingegneria sociale che invita l’utente a dimostrare di non essere un robot. Invece di selezionare immagini, alla vittima viene chiesto di incollare ed eseguire manualmente un comando nella finestra di dialogo “Esegui” di Windows. Questo passaggio critico permette agli aggressori di avviare una catena di infezione che sfrutta strumenti legittimi del sistema operativo per apparire come una normale attività di amministrazione.

L’uso dei LOLBIN e dei processi Windows

Per eludere i controlli, i cybercriminali utilizzano una tecnica che si appoggia a componenti fidati. Invece di lanciare direttamente PowerShell, l’attacco viene veicolato attraverso uno script legittimo di Windows chiamato SyncAppvPublishingServer.vbs. Questo componente, normalmente dedicato alla gestione di applicazioni virtualizzate, funge da “LOLBIN” (Living Off the Land Binary) per controllare le modalità di inizio dell’esecuzione.

Attraverso questo metodo, il processo appare come un’attività di sistema ordinaria, permettendo al codice malevolo di scivolare oltre gli ambienti di monitoraggio.

La campagna è progettata per attivarsi solo quando l’utente esegue i passaggi manuali richiesti; in caso contrario, il processo si arresta silenziosamente. Questo comportamento strategico rende molto più complessa l’analisi del malware da parte dei sistemi di sicurezza che cercano di identificare payload sospetti in modo automatico.

Google Calendar come centro di configurazione

Una delle caratteristiche distintive di questa operazione è l’abuso di infrastrutture cloud fidate. Una volta confermata la presenza di una vittima, il malware non contatta un server sospetto, ma scarica la propria configurazione da un file pubblico ospitato su Google Calendar. Utilizzando un file standard in formato .ics, gli aggressori possono mantenere flessibile la logica di consegna senza dover modificare i file già inviati.

L’uso di un servizio così comune garantisce che il traffico di rete sembri del tutto innocuo agli strumenti di difesa. Questa scelta operativa permette ai criminali di sfruttare l’infrastruttura di terze parti per gestire le fasi dell’attacco, mantenendo il controllo sulle istruzioni che il malware deve seguire. Si tratta di un metodo efficace per nascondere le direttive malevole all’interno di un flusso di dati che la maggior parte delle aziende considera sicuro.

Payload finale e immagini nascoste

L’ultima fase della consegna sfrutta la steganografia per nascondere il codice dannoso. Il malware scarica immagini PNG apparentemente benigne da siti di hosting pubblici. All’interno dei pixel di queste foto è celato un payload crittografato che viene estratto, decifrato e decompresso interamente nella memoria del computer. Questo significa che l’esecuzione passa da PowerShell a codice nativo senza lasciare tracce evidenti.

Il risultato finale è l’attivazione di Amatera Stealer, un software progettato per raccogliere credenziali e dati dai browser delle vittime. Sebbene il payload sia una minaccia nota, è il metodo di distribuzione a preoccupare gli esperti. La combinazione di script Microsoft e Google Calendar ottimizza l’affidabilità dell’attacco, assicurando che funzioni solo quando previsto.

Secondo la ricerca pubblicata da Blackpoint SOC, questa campagna dimostra una ricerca deliberata della massima invisibilità lungo l’intera catena di infezione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research