Надстройка AgreeTo для Outlook была взломана и превращена в фишинговый набор, похитивший более 4000 учетных данных учетных записей Microsoft.
Изначально являясь легитимным инструментом для планирования встреч для пользователей Outlook, этот модуль был разработан независимым издателем и с декабря 2022 года представлен в магазине надстроек Microsoft Office Add-in Store.
Надстройки Office — это просто URL-адреса, указывающие на контент, загружаемый в продукты Microsoft с сервера разработчика. В случае с AgreeTo разработчик использовал URL-адрес, размещенный на Vercel (outlook-one.vercel.app), но забросил проект, несмотря на сформированную пользовательскую базу.
Однако надстройка продолжала числиться в магазине Microsoft, и злоумышленник завладел ее заброшенным URL-адресом для размещения фишингового набора.
По словам исследователей из компании Koi, специализирующейся на безопасности цепочек поставок, злоумышленник, захвативший проект, развернул поддельную страницу входа Microsoft, страницу сбора паролей, скрипт для кражи данных и перенаправление.
Стоит отметить, что после попадания надстройки в магазин Microsoft дальнейшего процесса проверки не происходит. При отправке модуля Microsoft проверяет файл манифеста и подписывает его для утверждения.
AgreeTo уже была проверена и одобрена, а все ресурсы — пользовательский интерфейс и все, с чем взаимодействует пользователь — загружались с сервера разработчика, который теперь находился под контролем злоумышленника.
Исследователи Koi обнаружили компрометацию и получили доступ к каналу кражи данных злоумышленника. Они обнаружили, что было украдено более 4000 учетных данных учетных записей Microsoft, а также номера кредитных карт и ответы на секретные вопросы банков.
Надстройка присутствовала в магазине до сегодняшнего дня, когда Microsoft удалила ее. Исследователи Koi говорят, что злоумышленник активно тестировал украденные учетные данные во время их исследования.
Когда пользователи открывали вредоносную надстройку AgreeTo в Outlook, вместо интерфейса планирования они видели поддельную страницу входа Microsoft в боковой панели программы, которую легко можно было принять за легитимный запрос на вход.
Любые введенные там учетные данные передаются через API Telegram-бота злоумышленникам, после чего жертвы перенаправляются на настоящую страницу входа Microsoft, чтобы уменьшить подозрения.
Отмечается, что надстройка сохранила разрешения ReadWriteItem, позволяющие ей читать и изменять электронные письма пользователей, хотя такая активность не была подтверждена.
Koi Security обнаружила, что оператор этой атаки управляет по меньшей мере дюжиной дополнительных фишинговых наборов, нацеленных на интернет-провайдеров, банки и поставщиков веб-почты.
Хотя вредоносные надстройки не являются чем-то новым, ранее мы видели, как подобные инструменты продвигались через комментарии на спам-форумах, фишинговые письма и вредоносную рекламу. Однако случай с AgreeTo выделяется, поскольку это, вероятно, первый случай размещения на торговой площадке Microsoft.
Исследователь Koi Security Орен Йомтов сообщил BleepingComputer, что это первое вредоносное ПО, обнаруженное на официальной торговой площадке Microsoft, и первая вредоносная надстройка Outlook, обнаруженная в дикой природе.
Если у вас все еще установлена надстройка AgreeTo в Outlook, рекомендуется немедленно удалить ее и сбросить пароли. BleepingComputer связался с Microsoft для получения комментариев по поводу выводов исследователей Koi, но мы все еще ждем ответа.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
