Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Complement maliciós d'Outlook d'acord

Complement maliciós d'Outlook d'acord

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)
Traduir a:

Investigadors de ciberseguretat han descobert el que es creu que és el primer complement maliciós de Microsoft Outlook detectat. La campanya, amb el nom en clau AgreeToSteal, representa un atac nou i preocupant a la cadena de subministrament que abusa de la confiança en l'ecosistema de complements d'Office de Microsoft.

En aquest incident, un actor de pirateria va segrestar el domini associat a un complement d'Outlook abandonat però legítim. En reutilitzar la infraestructura caducada, l'atacant va implementar una pàgina d'inici de sessió de Microsoft falsificada i va obtenir amb èxit més de 4.000 credencials d'usuari.

Aquest descobriment assenyala una nova fase en les amenaces a la cadena de subministrament basades en el mercat, aquesta vegada dirigides al programari de productivitat empresarial com a element central.

D’eina de productivitat a vector de phishing

El complement compromès, conegut com a AgreeTo, es va desenvolupar originalment per ajudar els usuaris a consolidar diversos calendaris i compartir la disponibilitat per correu electrònic. Es va actualitzar per última vegada el desembre de 2022.

A diferència de les campanyes tradicionals de distribució de programari maliciós, aquest atac no va implicar explotar una vulnerabilitat a la base de codi. En canvi, va aprofitar una debilitat estructural en el funcionament dels complements d'Office. Els investigadors classifiquen això com una variació dels atacs observats anteriorment que afecten les extensions del navegador, els paquets npm i els complements de l'IDE, canals de distribució de confiança on el contingut aprovat pot canviar posteriorment sense desencadenar un escrutini.

Els complements d'Office introdueixen un risc més elevat a causa de diversos factors agreujants:

  • S'executen directament dins de l'Outlook, on es gestionen les comunicacions altament sensibles.
  • Poden sol·licitar permisos potents, inclosa la capacitat de llegir i modificar correus electrònics.
  • Es distribueixen a través de la botiga oficial de Microsoft, heretant la confiança implícita dels usuaris.

El cas AgreeTo subratlla una realitat crítica: el desenvolupador original no va fer res maliciós. Es va crear un producte legítim i posteriorment es va abandonar. L'atac va explotar la bretxa entre l'abandonament del projecte i la supervisió del mercat.

Explotació de l’arquitectura de complements d’Office

Al centre de l'incident hi ha el disseny dels complements d'Office. Els desenvolupadors envien els seus complements a través del Centre de socis de Microsoft, on la solució es revisa i s'aprova. Tanmateix, l'aprovació està principalment lligada a un fitxer de manifest, no a un paquet de codi estàtic.

Els complements de l'Office difereixen fonamentalment del programari convencional. En lloc d'enviar codi inclòs, el fitxer de manifest especifica una URL. Cada vegada que s'obre el complement dins de l'Outlook, l'aplicació recupera contingut en directe d'aquesta URL i el renderitza dins d'un iframe.

Aquest model arquitectònic introdueix una exposició crítica: un cop aprovat i signat, el complement continua carregant el contingut que l'URL de referència serveix en temps real. Si el control d'aquesta URL canvia, a causa de l'expiració del domini o de l'abandonament de la infraestructura, es pot introduir contingut maliciós sense modificar el manifest signat.

En el cas d'AgreeTo, el manifest feia referència a una URL allotjada a Vercel (outlook-one.vercel[.]app). Després que la implementació del desenvolupador s'hagués suprimit i el projecte s'hagi convertit en abandonware al voltant del 2023, l'URL es va poder reclamar. Un atacant en va prendre el control mentre el complement continuava apareixent a la botiga de Microsoft.

A data d'informe, la infraestructura continua activa.

Execució de phishing i exfiltració de credencials

Després de reclamar la implementació abandonada, l'atacant va allotjar un kit de phishing a l'URL de referència. El contingut maliciós mostrava una pàgina d'inici de sessió falsa de Microsoft dissenyada per capturar les credencials dels usuaris.

Les contrasenyes capturades es van exfiltrar mitjançant l'API del bot de Telegram. Les víctimes van ser redirigides a la pàgina d'inici de sessió legítima de Microsoft, cosa que va reduir les sospites i va augmentar la probabilitat de robatori de credencials.

Tot i que l'activitat observada es va centrar en la recol·lecció de credencials, els investigadors adverteixen que l'impacte podria haver estat significativament més greu. El complement es va configurar amb permisos de ReadWriteItem, cosa que permetia llegir i modificar els correus electrònics dels usuaris. Un actor d'amenaces més agressiu podria haver implementat JavaScript capaç d'exfiltrar silenciosament el contingut de les bústies de correu, creant un potent vector d'espionatge dins dels entorns empresarials.

Una bretxa de supervisió del mercat amb implicacions més àmplies

Microsoft revisa els manifestos de complements durant el procés d'enviament inicial, però no hi ha una validació contínua del contingut en directe servit per les URL de referència després de l'aprovació. Això crea una bretxa de confiança estructural: el manifest es signa una vegada, però el contingut remot al qual fa referència pot canviar indefinidament.

El complement AgreeTo es va signar el desembre de 2022. Tot i que el contingut original era legítim en el moment de l'aprovació, la mateixa URL ara serveix un kit de phishing i el complement continua disponible a la botiga.

Aquest problema s'estén més enllà de l'ecosistema de Microsoft. Qualsevol mercat que aprovi una sol·licitud una vegada sense un seguiment continu de les dependències dinàmiques remotes està exposat a riscos similars. La debilitat estructural és consistent a totes les plataformes: aprova una vegada, confia indefinidament.

Mitigacions estratègiques per reduir el risc del mercat

Per abordar les debilitats sistèmiques exposades per AgreeToSteal, els experts en seguretat recomanen diverses contramesures:

  • Activa les revisions automàtiques quan l'URL de referència d'un complement comenci a publicar contingut que difereix substancialment del que es va revisar originalment.
  • Implementeu la validació de la propietat del domini per confirmar que la infraestructura continua sota el control del desenvolupador i marqueu els complements on canvia la propietat de l'allotjament.
  • Establir mecanismes per eliminar o avisar els usuaris sobre complements que no s'han actualitzat dins dels terminis definits.
  • Mostra el recompte d'instal·lacions per ajudar a avaluar l'exposició i l'impacte potencial.

La monitorització contínua del contingut en directe, en lloc de confiar únicament en l'aprovació de manifestos estàtics, és essencial per mitigar els riscos de la cadena de subministrament en els ecosistemes d'extensió moderns.

Una crida d’atenció per als models de confiança de dependència dinàmica

La campanya AgreeToSteal il·lustra un repte fonamental en els models contemporanis de distribució de programari. Els complements d'Office, les extensions del navegador i eines similars allotjades al mercat sovint depenen de contingut remot i servit dinàmicament.

Sense una reanàlisi periòdica ni un seguiment del comportament, les aplicacions de confiança poden evolucionar silenciosament cap a vectors d'atac.

Aquest cas serveix d'advertència tant per als operadors de plataformes com per als defensors de les empreses: la confiança s'ha de validar contínuament, sobretot quan hi ha implicades infraestructures remotes i dependències dinàmiques.

Tendència

Més vist

Carregant...