Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni dodatak za Outlook AgreeTo

Zlonamjerni dodatak za Outlook AgreeTo

Do Mezo. Malware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su ono što se smatra prvim poznatim zlonamjernim dodatkom za Microsoft Outlook otkrivenim u praksi. Kampanja, kodnog naziva AgreeToSteal, predstavlja novi i problematični napad na lanac opskrbe koji zlorabi povjerenje u ekosustav dodataka za Microsoft Office.

U ovom incidentu, napadač je oteo domenu povezanu s napuštenim, ali legitimnim dodatkom za Outlook. Prenamjenom istekle infrastrukture, napadač je implementirao krivotvorenu Microsoftovu stranicu za prijavu i uspješno prikupio više od 4000 korisničkih vjerodajnica.

Ovo otkriće signalizira novu fazu u prijetnjama lancu opskrbe temeljenim na tržištu, ovaj put usmjerenoj na softver za produktivnost poduzeća u svojoj srži.

Od alata za produktivnost do vektora krađe identiteta

Kompromitirani dodatak, poznat kao AgreeTo, izvorno je razvijen kako bi pomogao korisnicima u konsolidaciji više kalendara i dijeljenju dostupnosti putem e-pošte. Posljednji put je ažuriran u prosincu 2022.

Za razliku od tradicionalnih kampanja distribucije zlonamjernog softvera, ovaj napad nije uključivao iskorištavanje ranjivosti u kodnoj bazi. Umjesto toga, iskoristio je strukturnu slabost u načinu funkcioniranja dodataka za Office. Istraživači ovo klasificiraju kao varijaciju prethodno uočenih napada koji utječu na proširenja preglednika, npm pakete i IDE dodatke, pouzdane distribucijske kanale gdje se odobreni sadržaj kasnije može promijeniti bez izazivanja nadzora.

Dodaci za Office predstavljaju povećani rizik zbog nekoliko faktora koji se slažu:

  • Izvršavaju se izravno unutar Outlooka, gdje se obrađuju vrlo osjetljive komunikacije.
  • Mogu zatražiti snažne dozvole, uključujući mogućnost čitanja i izmjene e-pošte.
  • Distribuiraju se putem službene Microsoftove trgovine, nasljeđujući implicitno povjerenje korisnika.

Slučaj AgreeTo naglašava ključnu stvarnost: izvorni programer nije učinio ništa zlonamjerno. Izrađen je legitimni proizvod, a kasnije napušten. Napad je iskoristio jaz između napuštanja projekta i nadzora tržišta.

Iskorištavanje arhitekture dodataka za Office

U središtu incidenta leži dizajn dodataka za Office. Razvojni programeri šalju svoje dodatke putem Microsoftovog partnerskog centra, gdje rješenje prolazi pregled i odobrenje. Međutim, odobrenje je uglavnom vezano uz datoteku manifesta, a ne uz paket statičkog koda.

Dodaci za Office bitno se razlikuju od konvencionalnog softvera. Umjesto isporuke koda u paketu, datoteka manifesta navodi URL. Svaki put kada se dodatak otvori unutar Outlooka, aplikacija dohvaća sadržaj uživo s tog URL-a i prikazuje ga unutar iframea.

Ovaj arhitektonski model uvodi ključnu izloženost: nakon odobrenja i potpisivanja, dodatak nastavlja učitavati sadržaj koji referencirani URL poslužuje u stvarnom vremenu. Ako se kontrola nad tim URL-om promijeni zbog isteka domene ili napuštanja infrastrukture, zlonamjerni sadržaj može se uvesti bez izmjene potpisanog manifesta.

U slučaju AgreeTo, manifest je referencirao URL hostan na Vercelu (outlook-one.vercel[.]app). Nakon što je implementacija programera izbrisana i projekt je efektivno postao napušteni softver oko 2023. godine, URL je postao dostupan za preuzimanje. Napadač je preuzeo kontrolu nad njim dok je dodatak ostao naveden u Microsoftovoj trgovini.

U trenutku izvješćivanja, infrastruktura je i dalje aktivna.

Izvršavanje phishinga i krađa vjerodajnica

Nakon što je zatražio napuštenu implementaciju, napadač je na navedenom URL-u postavio phishing kit. Zlonamjerni sadržaj prikazivao je lažnu Microsoftovu stranicu za prijavu osmišljenu za hvatanje korisničkih vjerodajnica.

Uhvaćene lozinke su ukradene pomoću Telegram Bot API-ja. Žrtve su zatim preusmjerene na legitimnu Microsoftovu stranicu za prijavu, što je smanjilo sumnju i povećalo vjerojatnost uspješne krađe podataka.

Iako se uočena aktivnost usredotočila na prikupljanje vjerodajnica, istraživači upozoravaju da je utjecaj mogao biti znatno ozbiljniji. Dodatak je bio konfiguriran s dozvolama ReadWriteItem, što je omogućilo čitanje i izmjenu korisničkih e-poruka. Agresivniji akter prijetnje mogao je primijeniti JavaScript sposoban za tiho krađu sadržaja poštanskog sandučića, stvarajući snažan vektor špijunaže unutar poslovnih okruženja.

Praznina u nadzoru tržišta sa širim implikacijama

Microsoft pregledava manifeste dodataka tijekom početnog postupka slanja, ali ne postoji kontinuirana validacija aktivnog sadržaja koji se poslužuje putem referenciranih URL-ova nakon odobrenja. To stvara strukturni jaz povjerenja: manifest se potpisuje jednom, no udaljeni sadržaj na koji se referencira može se neograničeno mijenjati.

Dodatak AgreeTo potpisan je u prosincu 2022. Iako je izvorni sadržaj bio legitiman u vrijeme odobrenja, isti URL sada služi za phishing kit, a dodatak je i dalje dostupan u trgovini.

Ovaj problem nadilazi Microsoftov ekosustav. Svako tržište koje jednom odobri podnesak bez kontinuiranog praćenja udaljenih dinamičkih ovisnosti izloženo je sličnim rizicima. Strukturna slabost je dosljedna na svim platformama: odobri jednom, vjeruj neograničeno.

Strateške mjere ublažavanja za smanjenje rizika na tržištu

Kako bi se riješile sistemske slabosti koje je otkrio AgreeToSteal, sigurnosni stručnjaci preporučuju nekoliko protumjera:

  • Pokreni automatske ponovne preglede kada URL na koji se dodatak poziva počne prikazivati sadržaj koji se značajno razlikuje od onoga što je izvorno pregledano.
  • Implementirajte provjeru vlasništva domene kako biste potvrdili da infrastruktura ostaje pod kontrolom programera i označite dodatke tamo gdje se promijeni vlasništvo nad hostingom.
  • Uspostavite mehanizme za uklanjanje ili upozorenje korisnika o dodacima koji nisu ažurirani unutar definiranih vremenskih okvira.
  • Prikažite broj instalacija kako biste lakše procijenili izloženost i potencijalni utjecaj.

Kontinuirano praćenje sadržaja uživo, umjesto oslanjanja isključivo na odobrenje statičkog manifesta, ključno je za ublažavanje rizika u lancu opskrbe u modernim ekosustavima proširenja.

Poziv na buđenje za modele dinamičkog povjerenja ovisnosti

Kampanja AgreeToSteal ilustrira temeljni izazov u suvremenim modelima distribucije softvera. Dodaci za Office, proširenja preglednika i slični alati hostani na tržištu često se oslanjaju na udaljeni, dinamički posluženi sadržaj.

Bez periodičnog ponovnog skeniranja i praćenja ponašanja, pouzdane aplikacije mogu se tiho razviti u vektore napada.

Ovaj slučaj služi kao upozorenje operaterima platformi i braniteljima poduzeća: povjerenje se mora kontinuirano provjeravati, posebno kada je u pitanju udaljena infrastruktura i dinamičke ovisnosti.

U trendu

Nagledanije

Učitavam...