Исследователи сообщили, что более 390 просроченных или захваченных доменов .ics/синхронизации календаря всё ещё активны и опрашиваются почти 4 миллионами устройств iOS и macOS, создавая поверхность атаки для фишинга и спама через календарь. Команды по безопасности советуют проверить подписки на календари и внедрить фильтрацию и мониторинг, поскольку злонамеренные обновления календаря могут обходить некоторые защиты электронной почты и веба.

Отчет F5 Threat Report обнаружил более 390 заброшенных, истекших или перехваченных доменов .ics/синхронизации календарей, которые остаются доступными и получают запросы почти от четырех миллионов устройств Apple. Злоумышленники, регистрирующие эти неактивные домены, могут отправлять вредоносные обновления календаря, содержащие фишинговые URL, спам-события или подсказки, нацеленные на то, чтобы обманом заставить пользователей установить вредоносное ПО или включить постоянные уведомления. Поскольку подписки на календари часто вызывают доверие и обходят стандартные шлюзы электронной почты и веб‑прокси, вредоносные события могут доходить до пользователей, не вызывая срабатывания обычных средств обнаружения угроз. Аналитики F5 предупредили, что организации и отдельные пользователи должны проверять и удалять незнакомые подписки на календари, применять более жесткую фильтрацию .ics‑лент и нормализовывать Unicode и кодировки URL в парсерах календарей, чтобы предотвратить использование обфусцированных приманок. Они также рекомендовали отслеживать тенденции DNS и регистрации доменов для истекших конечных точек календарей, применять средства защиты конечных точек для перехвата вторичных полезных нагрузок и обучать пользователей относиться к неожиданным приглашениям календарных событий с той же долей подозрительности, что и к нежелательным письмам. Обороняющим сети было рекомендовано интегрировать проверки подписок на календари в мониторинг безопасности и сценарии реагирования на инциденты, чтобы закрыть этот новый вектор атаки.