הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית הסכמה לתוסף הזדוני של Outlook

הסכמה לתוסף הזדוני של Outlook

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT)
לתרגם ל:

חוקרי אבטחת סייבר חשפו את מה שנחשב לתוסף הזדוני הראשון של Microsoft Outlook שזוהה בטבע. הקמפיין, בשם הקוד AgreeToSteal, מייצג מתקפת שרשרת אספקה חדשה ומטרידה, הפוגעת באמון במערכת האקולוגית של תוספי Office של מיקרוסופט.

במקרה זה, גורם איום חטף את הדומיין המשויך לתוסף Outlook נטוש אך לגיטימי. על ידי שימוש מחדש בתשתית שפגה, התוקף פרס דף כניסה מזויף של מיקרוסופט ואסף בהצלחה יותר מ-4,000 אישורי משתמש.

תגלית זו מסמנת שלב חדש באיומי שרשרת האספקה מבוססי שוק, כאשר הפעם היא מכוונת לתוכנות פרודוקטיביות ארגוניות בליבתן.

מכלי פרודוקטיביות לווקטור פישינג

התוסף שנפגע, המכונה AgreeTo, פותח במקור כדי לעזור למשתמשים לאחד מספר לוחות שנה ולשתף זמינות באמצעות דוא"ל. הוא עודכן לאחרונה בדצמבר 2022.

בניגוד לקמפיינים מסורתיים של הפצת תוכנות זדוניות, מתקפה זו לא כללה ניצול פגיעות בבסיס הקוד. במקום זאת, היא ניצלה חולשה מבנית באופן שבו תוספי Office פועלים. חוקרים מסווגים זאת כגרסה של מתקפות שנצפו בעבר ומשפיעות על הרחבות דפדפן, חבילות npm ותוספי IDE, ערוצי הפצה מהימנים שבהם תוכן שאושר יכול להשתנות מאוחר יותר מבלי לעורר בדיקה.

תוספים של Office מציגים סיכון מוגבר עקב מספר גורמים מורכבים:

  • הם מבוצעים ישירות בתוך Outlook, שם מטופלות תקשורת רגישה ביותר.
  • הם עשויים לבקש הרשאות חזקות, כולל היכולת לקרוא ולשנות אימיילים.
  • הם מופצים דרך החנות הרשמית של מיקרוסופט, ויורשים אמון משתמשים מרומז.

מקרה AgreeTo מדגיש מציאות קריטית: המפתח המקורי לא עשה דבר זדוני. מוצר לגיטימי נוצר וננטש מאוחר יותר. המתקפה ניצלה את הפער בין נטישת הפרויקט לבין פיקוח על השוק.

ניצול ארכיטקטורת התוספים של Office

בלב התקרית טמון עיצוב תוספי אופיס. מפתחים מגישים את התוספים שלהם דרך מרכז השותפים של מיקרוסופט, שם הפתרון עובר סקירה ואישור. עם זאת, האישור קשור במידה רבה לקובץ מניפסט, ולא לחבילת קוד סטטית.

תוספים של Office שונים באופן מהותי מתוכנות קונבנציונליות. במקום לשלוח קוד מצורף, קובץ המניפסט מציין כתובת URL. בכל פעם שהתוספת נפתחת בתוך Outlook, היישום מאחזר תוכן חי מכתובת URL זו ומציג אותו בתוך iframe.

מודל ארכיטקטוני זה מציג חשיפה קריטית: לאחר אישור וחתימה, התוסף ממשיך לטעון את התוכן שמוצג על ידי כתובת האתר שאליה מפנה בזמן אמת. אם השליטה על כתובת האתר משתנה, עקב פקיעת דומיין או נטישת תשתית, ניתן להכניס תוכן זדוני מבלי לשנות את המניפסט החתום.

במקרה של AgreeTo, המניפסט הפניה לכתובת URL המתארחת על ידי Vercel (outlook-one.vercel[.]app). לאחר שהפריסה של המפתח נמחקה והפרויקט הפך למעשה לתוכנה לנטישה בסביבות 2023, כתובת ה-URL הפכה לניתנת לתביעה. תוקף השתלט עליה בעוד שהתוסף נותר רשום בחנות של מיקרוסופט.

נכון למועד הדיווח, התשתית נותרה פעילה.

ביצוע פישינג וגניבת אישורים

לאחר שתבע את הפריסה שננטשה, התוקף אירח ערכת פישינג בכתובת האתר המצוינת. התוכן הזדוני הציג דף כניסה מזויף של מיקרוסופט שנועד ללכוד פרטי משתמש.

סיסמאות שנלכדו נחטפו באמצעות ממשק ה-API של בוט טלגרם. לאחר מכן הופנו הקורבנות לדף הכניסה הלגיטימי של מיקרוסופט, מה שהפחית את החשד והגדיל את הסבירות לגניבת אישורים מוצלחת.

בעוד שהפעילות שנצפתה התמקדה באיסוף אישורים, חוקרים מזהירים כי ההשפעה הייתה עלולה להיות חמורה משמעותית. התוסף הוגדר עם הרשאות ReadWriteItem, מה שאפשר את היכולת לקרוא ולשנות הודעות דוא"ל של משתמשים. גורם איום אגרסיבי יותר היה יכול לפרוס JavaScript המסוגל לחלץ תוכן תיבות דואר באופן שקט, וליצור וקטור ריגול רב עוצמה בסביבות ארגוניות.

פער בפיקוח על השוק עם השלכות רחבות יותר

מיקרוסופט בודקת מניפסטים של תוספים במהלך תהליך ההגשה הראשוני, אך אין אימות רציף של התוכן החי המוגש על ידי כתובות ה-URL שאליה מופנות לאחר האישור. זה יוצר פער אמון מבני: המניפסט נחתם פעם אחת, אך התוכן המרוחק שאליו הוא מפנה יכול להשתנות ללא הגבלת זמן.

התוסף AgreeTo נחתם בדצמבר 2022. למרות שהתוכן המקורי היה לגיטימי בזמן האישור, אותה כתובת URL משמשת כעת לערכת פישינג, והתוסף נשאר זמין בחנות.

בעיה זו חורגת מעבר למערכת האקולוגית של מיקרוסופט. כל שוק שמאשר הגשה פעם אחת ללא ניטור מתמשך של תלויות דינמיות מרוחקות חשוף לסיכונים דומים. החולשה המבנית עקבית בין פלטפורמות: אישור פעם אחת, אמון ללא הגבלת זמן.

אמצעים אסטרטגיים להפחתת סיכוני השוק

כדי לטפל בחולשות המערכתיות שנחשפו על ידי AgreeToSteal, מומחי אבטחה ממליצים על מספר צעדים נגדיים:

  • הפעל ביקורות חוזרות אוטומטיות כאשר כתובת ה-URL שאליה מפנה תוסף מתחילה להציג תוכן השונה באופן מהותי ממה שנבדק במקור.
  • הטמע אימות בעלות על דומיין כדי לאשר שהתשתית נשארת בשליטת המפתח, ולסמן תוספים כאשר בעלות על אירוח משתנה.
  • קבע מנגנונים להסרה או אזהרה למשתמשים לגבי תוספים שלא עודכנו בתוך מסגרות זמן מוגדרות.
  • הצג ספירות התקנות כדי לסייע בהערכת החשיפה וההשפעה הפוטנציאלית.

ניטור מתמשך של תוכן חי, במקום להסתמך אך ורק על אישור מניפסט סטטי, חיוני להפחתת סיכוני שרשרת האספקה במערכות אקולוגיות מודרניות של הרחבות.

קריאת השכמה למודלים של אמון תלותי דינמי

קמפיין AgreeToSteal ממחיש אתגר מהותי במודלים עכשוויים של הפצת תוכנה. תוספים של Office, הרחבות דפדפן וכלים דומים המתארחים בשוק מסתמכים לעתים קרובות על תוכן מרוחק המוגש באופן דינמי.

ללא סריקה מחדש תקופתית וניטור התנהגותי, יישומים מהימנים עלולים להתפתח בשקט לווקטורי תקיפה.

מקרה זה משמש כאזהרה למפעילי פלטפורמות ולמגינים ארגוניים כאחד: יש לאמת באופן רציף את האמון, במיוחד כאשר מדובר בתשתית מרוחקת ותלות דינמיות.

מגמות

תולעת TeamPCP

איום מתמשך מתקדם (APT), תוכנה זדונית, תוֹלַעִים
חוקרי אבטחת סייבר חשפו קמפיין נרחב, המונע על ידי תולעים, המכוון באופן שיטתי לסביבות ענן מקוריות כדי לבנות תשתית זדונית לניצול עתידי. פעילות הקשורה לפעולה זו נצפתה בסביבות ה-25 בדצמבר 2025, וחשפה מאמץ מתואם לנצל לרעה שירותים ופגיעויות חשופות במערכות ענן מודרניות. TeamPCP: אשכול איומים מתפתח במהירות הקמפיין יוחס לאשכול איומים שעוקב אחר TeamPCP, הידוע גם בכינויים הכוללים DeadCatx3, PCPcat,...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
26,373
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...