Forscher berichteten, dass über 390 abgelaufene oder gekaperte .ics-/Kalender‑Sync‑Domains weiterhin aktiv sind und von fast 4 Millionen iOS‑ und macOS‑Geräten abgefragt werden, wodurch eine Angriffsfläche für kalenderbasierte Phishing‑ und Spam‑Angriffe entsteht. Sicherheitsteams rieten, Kalenderabonnements zu überprüfen und Filterung sowie Überwachung zu implementieren, da bösartige Kalender‑Updates einige E‑Mail‑ und Web‑Schutzmaßnahmen umgehen können.

Ein F5-Threat-Report fand mehr als 390 verlassene, abgelaufene oder gekaperte .ics-/Kalender-Sync-Domains, die weiterhin erreichbar sind und Anfragen von fast vier Millionen Apple-Geräten erhalten. Angreifer, die diese ruhenden Domains registrieren, können bösartige Kalenderaktualisierungen mit Phishing-URLs, Spam-Ereignissen oder Eingabeaufforderungen verbreiten, die darauf ausgelegt sind, Benutzer zur Installation von Malware oder zur Aktivierung persistenter Benachrichtigungen zu verleiten. Da Kalenderabonnements häufig vertraut werden und Standard-E-Mail-Gateways sowie Web-Proxys umgehen, können bösartige Ereignisse Benutzer erreichen, ohne herkömmliche Bedrohungserkennungen auszulösen. F5-Analysten warnten, dass Organisationen und einzelne Nutzer unbekannte Kalenderabonnements prüfen und entfernen, strengere Filter für .ics-Feeds durchsetzen und Unicode- sowie URL-Codierungen in Kalenderparsern normalisieren sollten, um verschleierte Köder zu verhindern. Sie empfahlen außerdem, DNS- und Domainregistrierungstrends für abgelaufene Kalenderendpunkte zu überwachen, Endpunktschutz anzuwenden, um sekundäre Nutzlasten abzufangen, und Benutzer zu schulen, unerwartete Kalendereinladungen mit derselben Skepsis zu behandeln wie unaufgeforderte E-Mails. Netzwerkschützer wurden aufgefordert, Kalenderabonnement-Prüfungen in Sicherheitsüberwachungs- und Incident-Response-Playbooks zu integrieren, um diese aufkommende Angriffsfläche zu schließen.