Миллионы устройств Apple подверглись атакам через заброшенные календарные домены iCalendar

Исследователи компании Bitsight зафиксировали необычную волну атак, нацеленных на пользователей экосистемы Apple. В центре внимания оказалась система календарной синхронизации iCalendar, через которую ежедневно отправляются запросы от более чем 4 млн устройств на iOS и macOS. Как выяснилось, в этих запросах участвуют свыше 390 доменов, которые были ранее брошены и теперь могут быть легко перехвачены злоумышленниками.

Уязвимость связана с механизмом подписки на сторонние календари — привычной функцией, которой активно пользуются владельцы устройств Apple.

Люди часто оформляют подписки на праздничные расписания, скидочные события или напоминания от разных приложений. Эти действия совершаются в один клик, и после подключения календарь регулярно синхронизируется с доменом-источником, загружая .ics-файлы с актуальной информацией.

Специалисты Bitsight отмечают, что если такой домен попадает в руки киберпреступников, устройство продолжит получать события от нового владельца домена. Внутри событий могут содержаться фишинговые ссылки, агрессивные предложения установить вредоносное ПО, поддельные уведомления о «заражении» системы или предложения «обновить VPN». Всё это подаётся через нативный интерфейс календаря, вызывая доверие у пользователя.

Исследователи проследили происхождение этих запросов. В большинстве случаев они поступают от старых подписок, которые владельцы давно забыли отключить. Некоторые из них относятся к календарям с национальными праздниками или региональными мероприятиями. Один перерегистрированный домен открывает доступ сразу к тысячам или даже миллионам устройств — без уведомлений и без запроса разрешения.

Дополнительно компания Bitsight выявила и более активный способ распространения вредоносных подписок. В ряде случаев киберпреступники использовали взломанные сайты, которые внедряли скрытые скрипты. Эти скрипты перенаправляли посетителей на поддельные страницы с CAPTCHA. Пользователю предлагалось нажать кнопку «Разрешить», якобы для прохождения проверки, но фактически происходила активация подписки на push-уведомления или новые календарные события.

Такую инфраструктуру эксперты связали с вредоносной кампанией Balada Injector. Злоумышленники часто использовали домены с зонами .biz и .bid, что позволяло быстро запускать и дублировать кампании при блокировке предыдущих адресов.