Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Συμφωνώ με το κακόβουλο πρόσθετο του Outlook

Συμφωνώ με το κακόβουλο πρόσθετο του Outlook

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας αποκάλυψαν αυτό που πιστεύεται ότι είναι το πρώτο γνωστό κακόβουλο πρόσθετο του Microsoft Outlook που εντοπίστηκε σε πραγματικό χρόνο. Η καμπάνια, με την κωδική ονομασία AgreeToSteal, αντιπροσωπεύει μια νέα και ανησυχητική επίθεση στην εφοδιαστική αλυσίδα που καταχράται την εμπιστοσύνη στο οικοσύστημα πρόσθετων του Office της Microsoft.

Σε αυτό το περιστατικό, ένας απειλητικός παράγοντας κατέλαβε τον τομέα που σχετίζεται με ένα εγκαταλελειμμένο αλλά νόμιμο πρόσθετο του Outlook. Επαναχρησιμοποιώντας την ληγμένη υποδομή, ο εισβολέας ανέπτυξε μια πλαστή σελίδα σύνδεσης της Microsoft και συγκέντρωσε με επιτυχία περισσότερα από 4.000 διαπιστευτήρια χρήστη.

Αυτή η ανακάλυψη σηματοδοτεί μια νέα φάση στις απειλές της εφοδιαστικής αλυσίδας που βασίζονται στην αγορά, αυτή τη φορά στοχεύοντας στον πυρήνα του λογισμικού παραγωγικότητας των επιχειρήσεων.

Από το Εργαλείο Παραγωγικότητας στο Διάνυσμα Ηλεκτρονικού Φαινόμενου Ψαρέματος (Phishing)

Το παραβιασμένο πρόσθετο, γνωστό ως AgreeTo, αναπτύχθηκε αρχικά για να βοηθά τους χρήστες να ενοποιούν πολλά ημερολόγια και να κοινοποιούν τη διαθεσιμότητα μέσω email. Ενημερώθηκε τελευταία φορά τον Δεκέμβριο του 2022.

Σε αντίθεση με τις παραδοσιακές καμπάνιες διανομής κακόβουλου λογισμικού, αυτή η επίθεση δεν περιελάμβανε εκμετάλλευση ενός ευάλωτου σημείου στη βάση κώδικα. Αντίθετα, εκμεταλλεύτηκε μια δομική αδυναμία στον τρόπο λειτουργίας των πρόσθετων του Office. Οι ερευνητές ταξινομούν αυτήν την επίθεση ως μια παραλλαγή προηγουμένως παρατηρημένων επιθέσεων που επηρεάζουν τις επεκτάσεις του προγράμματος περιήγησης, τα πακέτα npm και τα πρόσθετα IDE, αξιόπιστα κανάλια διανομής όπου το εγκεκριμένο περιεχόμενο μπορεί αργότερα να αλλάξει χωρίς να προκαλέσει έλεγχο.

Τα πρόσθετα του Office εισάγουν αυξημένο κίνδυνο λόγω διαφόρων παραγόντων επιδείνωσης:

  • Εκτελούνται απευθείας μέσα στο Outlook, όπου χειρίζονται επικοινωνίες υψηλής ευαισθησίας.
  • Ενδέχεται να ζητήσουν ισχυρά δικαιώματα, συμπεριλαμβανομένης της δυνατότητας ανάγνωσης και τροποποίησης μηνυμάτων ηλεκτρονικού ταχυδρομείου.
  • Διανέμονται μέσω του επίσημου καταστήματος της Microsoft, κληρονομώντας έμμεση εμπιστοσύνη χρήστη.

Η υπόθεση AgreeTo υπογραμμίζει μια κρίσιμη πραγματικότητα: ο αρχικός προγραμματιστής δεν έκανε τίποτα κακόβουλο. Δημιουργήθηκε ένα νόμιμο προϊόν και αργότερα εγκαταλείφθηκε. Η επίθεση εκμεταλλεύτηκε το χάσμα μεταξύ της εγκατάλειψης του έργου και της εποπτείας της αγοράς.

Αξιοποίηση της αρχιτεκτονικής πρόσθετων του Office

Στην καρδιά του περιστατικού βρίσκεται ο σχεδιασμός των πρόσθετων του Office. Οι προγραμματιστές υποβάλλουν τα πρόσθετά τους μέσω του Κέντρου Συνεργατών της Microsoft, όπου η λύση υποβάλλεται σε έλεγχο και έγκριση. Ωστόσο, η έγκριση συνδέεται σε μεγάλο βαθμό με ένα αρχείο μανιφέστου και όχι με ένα στατικό πακέτο κώδικα.

Τα πρόσθετα του Office διαφέρουν ριζικά από το συμβατικό λογισμικό. Αντί να αποστέλλεται ο κώδικας που περιλαμβάνεται στο πακέτο, το αρχείο μανιφέστο καθορίζει μια διεύθυνση URL. Κάθε φορά που ανοίγει το πρόσθετο μέσα στο Outlook, η εφαρμογή ανακτά ζωντανό περιεχόμενο από αυτήν τη διεύθυνση URL και το αποδίδει μέσα σε ένα iframe.

Αυτό το αρχιτεκτονικό μοντέλο εισάγει μια κρίσιμη έκθεση: μόλις εγκριθεί και υπογραφεί, το πρόσθετο συνεχίζει να φορτώνει σε πραγματικό χρόνο οποιοδήποτε περιεχόμενο εξυπηρετεί η αναφερόμενη διεύθυνση URL. Εάν ο έλεγχος αυτής της διεύθυνσης URL αλλάξει, λόγω λήξης τομέα ή εγκατάλειψης υποδομής, κακόβουλο περιεχόμενο μπορεί να εισαχθεί χωρίς τροποποίηση της υπογεγραμμένης δήλωσης.

Στην περίπτωση AgreeTo, το μανιφέστο αναφερόταν σε μια διεύθυνση URL που φιλοξενείται από το Vercel (outlook-one.vercel[.]app). Μετά τη διαγραφή της ανάπτυξης του προγραμματιστή και την ουσιαστική εγκατάλειψη του έργου γύρω στο 2023, η διεύθυνση URL κατέστη αξιώσιμη. Ένας εισβολέας κατέλαβε τον έλεγχό της, ενώ το πρόσθετο παρέμεινε καταχωρημένο στο κατάστημα της Microsoft.

Κατά την υποβολή της αναφοράς, η υποδομή παραμένει ενεργή.

Εκτέλεση ηλεκτρονικού “ψαρέματος” (phishing) και αφαίρεση διαπιστευτηρίων

Αφού ισχυρίστηκε την εγκαταλελειμμένη ανάπτυξη, ο εισβολέας φιλοξένησε ένα κιτ ηλεκτρονικού "ψαρέματος" (phishing) στην αναφερόμενη διεύθυνση URL. Το κακόβουλο περιεχόμενο εμφάνιζε μια ψεύτικη σελίδα σύνδεσης της Microsoft, σχεδιασμένη να καταγράφει τα διαπιστευτήρια χρήστη.

Οι καταγεγραμμένοι κωδικοί πρόσβασης εξαγόταν χρησιμοποιώντας το Telegram Bot API. Στη συνέχεια, τα θύματα ανακατευθύνονταν στη νόμιμη σελίδα σύνδεσης της Microsoft, μειώνοντας τις υποψίες και αυξάνοντας την πιθανότητα επιτυχούς κλοπής διαπιστευτηρίων.

Ενώ η παρατηρούμενη δραστηριότητα επικεντρώθηκε στη συλλογή διαπιστευτηρίων, οι ερευνητές προειδοποιούν ότι ο αντίκτυπος θα μπορούσε να είναι σημαντικά πιο σοβαρός. Το πρόσθετο διαμορφώθηκε με δικαιώματα ReadWriteItem, επιτρέποντας τη δυνατότητα ανάγνωσης και τροποποίησης των email των χρηστών. Ένας πιο επιθετικός απειλητικός παράγοντας θα μπορούσε να είχε αναπτύξει JavaScript ικανό να αποσπά σιωπηλά το περιεχόμενο των γραμματοκιβωτίων, δημιουργώντας ένα ισχυρό φορέα κατασκοπείας σε εταιρικά περιβάλλοντα.

Ένα κενό εποπτείας στην αγορά με ευρύτερες επιπτώσεις

Η Microsoft εξετάζει τα μανιφέστα πρόσθετων κατά την αρχική διαδικασία υποβολής, αλλά δεν υπάρχει συνεχής επικύρωση του ενεργού περιεχομένου που παρέχεται από τις αναφερόμενες διευθύνσεις URL μετά την έγκριση. Αυτό δημιουργεί ένα δομικό κενό εμπιστοσύνης: το μανιφέστο υπογράφεται μία φορά, ωστόσο το απομακρυσμένο περιεχόμενο στο οποίο αναφέρεται μπορεί να αλλάζει επ' αόριστον.

Το πρόσθετο AgreeTo υπογράφηκε τον Δεκέμβριο του 2022. Παρόλο που το αρχικό περιεχόμενο ήταν νόμιμο κατά τη στιγμή της έγκρισης, η ίδια διεύθυνση URL πλέον λειτουργεί ως κιτ ηλεκτρονικού "ψαρέματος" (phishing) και το πρόσθετο παραμένει διαθέσιμο στο κατάστημα.

Αυτό το ζήτημα εκτείνεται πέρα από το οικοσύστημα της Microsoft. Οποιαδήποτε αγορά που εγκρίνει μια υποβολή μία φορά χωρίς συνεχή παρακολούθηση των απομακρυσμένων δυναμικών εξαρτήσεων εκτίθεται σε παρόμοιους κινδύνους. Η δομική αδυναμία είναι συνεπής σε όλες τις πλατφόρμες: έγκριση μία φορά, εμπιστοσύνη επ' αόριστον.

Στρατηγικοί μετριασμοί για τη μείωση του κινδύνου αγοράς

Για την αντιμετώπιση των συστημικών αδυναμιών που αποκάλυψε το AgreeToSteal, οι ειδικοί ασφαλείας προτείνουν διάφορα αντίμετρα:

  • Ενεργοποιήστε αυτόματους επανελέγχους όταν η διεύθυνση URL στην οποία γίνεται αναφορά ενός πρόσθετου αρχίζει να εμφανίζει περιεχόμενο που διαφέρει ουσιωδώς από αυτό που ελέγχθηκε αρχικά.
  • Εφαρμόστε την επικύρωση ιδιοκτησίας τομέα για να επιβεβαιώσετε ότι η υποδομή παραμένει υπό τον έλεγχο του προγραμματιστή και επισημάνετε τα πρόσθετα όπου αλλάζει η ιδιοκτησία φιλοξενίας.
  • Καθιέρωση μηχανισμών για τη διαγραφή ή την προειδοποίηση των χρηστών σχετικά με πρόσθετα που δεν έχουν ενημερωθεί εντός καθορισμένων χρονικών πλαισίων.
  • Εμφανίστε τον αριθμό των εγκαταστάσεων για να βοηθήσετε στην αξιολόγηση της έκθεσης και των πιθανών επιπτώσεων.

Η συνεχής παρακολούθηση του ζωντανού περιεχομένου, αντί να βασίζεται αποκλειστικά στην έγκριση στατικών δηλώσεων, είναι απαραίτητη για τον μετριασμό των κινδύνων της εφοδιαστικής αλυσίδας στα σύγχρονα οικοσυστήματα επέκτασης.

Ένα κάλεσμα αφύπνισης για τα μοντέλα εμπιστοσύνης δυναμικής εξάρτησης

Η καμπάνια AgreeToSteal καταδεικνύει μια θεμελιώδη πρόκληση στα σύγχρονα μοντέλα διανομής λογισμικού. Τα πρόσθετα του Office, οι επεκτάσεις του προγράμματος περιήγησης και παρόμοια εργαλεία που φιλοξενούνται στην αγορά βασίζονται συχνά σε απομακρυσμένο, δυναμικά προβαλλόμενο περιεχόμενο.

Χωρίς περιοδική επανάληψη σάρωσης και παρακολούθηση συμπεριφοράς, οι αξιόπιστες εφαρμογές μπορούν να εξελιχθούν σιωπηλά σε φορείς επίθεσης.

Αυτή η περίπτωση χρησιμεύει ως προειδοποίηση τόσο για τους φορείς εκμετάλλευσης πλατφορμών όσο και για τους υπερασπιστές των επιχειρήσεων: η εμπιστοσύνη πρέπει να επικυρώνεται συνεχώς, ιδιαίτερα όταν εμπλέκονται απομακρυσμένες υποδομές και δυναμικές εξαρτήσεις.

Τάσεις

TeamPCP Worm

Προηγμένη επίμονη απειλή (APT), Κακόβουλο λογισμικό, Σκουλήκια
Ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια εκτεταμένη, καθοδηγούμενη από σκουλήκια εκστρατεία που στοχεύει συστηματικά σε περιβάλλοντα cloud-native για την κατασκευή κακόβουλης υποδομής για επακόλουθη εκμετάλλευση. Δραστηριότητα που σχετίζεται με αυτήν την επιχείρηση παρατηρήθηκε γύρω στις 25 Δεκεμβρίου 2025, αποκαλύπτοντας μια συντονισμένη προσπάθεια κατάχρησης εκτεθειμένων...

Απάτη με δώρα κρυπτονομισμάτων Trump

Απατεώνες Ιστότοποι
Η προσοχή κατά την περιήγηση στο διαδίκτυο δεν ήταν ποτέ πιο κρίσιμη. Οι κυβερνοεγκληματίες βελτιώνουν συνεχώς τις τακτικές τους, εκμεταλλευόμενοι δημοφιλή θέματα, δημόσια πρόσωπα και αναδυόμενες...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
26,373
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...