Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware AgreeTo rosszindulatú Outlook bővítmény

AgreeTo rosszindulatú Outlook bővítmény

Mezo -ra Malware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Kiberbiztonsági kutatók felfedezték az első ismert rosszindulatú Microsoft Outlook bővítményt. Az AgreeToSteal kódnevű kampány egy újszerű és aggasztó ellátási lánc támadás, amely visszaél a Microsoft Office bővítmény-ökoszisztémájába vetett bizalommal.

Ebben az incidensben egy támadó egy elhagyott, de legitim Outlook bővítményhez tartozó domaint térített el. A lejárt infrastruktúra újrafelhasználásával a támadó egy hamis Microsoft bejelentkezési oldalt telepített, és több mint 4000 felhasználói hitelesítő adatot gyűjtött be sikeresen.

Ez a felfedezés a piacalapú ellátási láncok fenyegetéseinek egy új szakaszát jelzi, amely ezúttal a vállalati termelékenységi szoftvereket veszi célba.

A termelékenységi eszköztől az adathalász vektorig

A feltört bővítményt, az AgreeTo-t eredetileg azért fejlesztették ki, hogy segítsen a felhasználóknak több naptár összevonásában és az elérhetőség e-mailben történő megosztásában. Utoljára 2022 decemberében frissítették.

A hagyományos rosszindulatú programokat terjesztő kampányokkal ellentétben ez a támadás nem a kódbázis egy sebezhetőségét használta ki. Ehelyett az Office-bővítmények működésének egy strukturális gyengeségét használta ki. A kutatók ezt a korábban megfigyelt támadások egy változataként osztályozzák, amelyek böngészőbővítményeket, npm-csomagokat és IDE-bővítményeket érintenek, azaz olyan megbízható terjesztési csatornákat, ahol a jóváhagyott tartalom később anélkül módosítható, hogy ellenőrzést kellene kiváltani.

Az Office-bővítmények fokozott kockázatot jelentenek számos összetett tényező miatt:

  • Közvetlenül az Outlookon belül futnak, ahol a rendkívül bizalmas kommunikációt kezelik.
  • Erős engedélyeket kérhetnek, beleértve az e-mailek olvasásának és módosításának lehetőségét is.
  • A Microsoft hivatalos áruházán keresztül terjednek, implicit felhasználói bizalmat örökölve.

Az AgreeTo eset rávilágít egy kritikus valóságra: az eredeti fejlesztő semmi rosszindulatúat nem tett. Létrehoztak egy legitim terméket, majd később elvetették. A támadás kihasználta a projektelhagyás és a piaci felügyelet közötti rést.

Az Office bővítményarchitektúrájának kihasználása

Az incidens középpontjában az Office bővítmények tervezése áll. A fejlesztők a Microsoft Partnerközpontján keresztül küldik be bővítményeiket, ahol a megoldás felülvizsgálaton és jóváhagyáson esik át. A jóváhagyás azonban nagyrészt egy manifest fájlhoz, nem pedig egy statikus kódcsomaghoz kötődik.

Az Office bővítmények alapvetően különböznek a hagyományos szoftverektől. A csomagolt kód helyett a manifest fájl egy URL-címet határoz meg. Minden alkalommal, amikor a bővítményt megnyitják az Outlookban, az alkalmazás élő tartalmat kér le az URL-címről, és egy iframe-en belül jeleníti meg.

Ez az architektúramodell egy kritikus kockázati tényezőt vezet be: a jóváhagyás és aláírás után a bővítmény továbbra is valós időben tölti be a hivatkozott URL-cím által megjelenített tartalmat. Ha az URL feletti felügyelet megváltozik, például a domain lejárta vagy az infrastruktúra felhagyása miatt, a kártékony tartalom beilleszthető az aláírt manifest módosítása nélkül.

Az AgreeTo esetben a manifest egy Vercel által üzemeltetett URL-re hivatkozott (outlook-one.vercel[.]app). Miután a fejlesztő telepítését törölték, és a projekt 2023 körül gyakorlatilag elhagyott szoftverré vált, az URL igényelhetővé vált. Egy támadó átvette az irányítást felette, miközben a bővítmény továbbra is szerepelt a Microsoft áruházában.

A jelentések szerint az infrastruktúra továbbra is aktív.

Adathalászat végrehajtása és hitelesítő adatok kiszivárgása

Miután a támadó lefoglalta az elhagyott telepítést, egy adathalász készletet helyezett el a hivatkozott URL-címen. A rosszindulatú tartalom egy hamis Microsoft bejelentkezési oldalt jelenített meg, amelyet a felhasználói hitelesítő adatok megszerzésére terveztek.

A rögzített jelszavakat a Telegram Bot API segítségével szivárogtatták ki. Az áldozatokat ezután a legitim Microsoft bejelentkezési oldalra irányították át, csökkentve a gyanút és növelve a hitelesítő adatok sikeres ellopásának valószínűségét.

Bár a megfigyelt tevékenység a hitelesítő adatok gyűjtésére összpontosított, a kutatók arra figyelmeztetnek, hogy a hatás lényegesen súlyosabb is lehetett volna. A bővítmény ReadWriteItem jogosultságokkal volt konfigurálva, amelyek lehetővé tették a felhasználói e-mailek olvasását és módosítását. Egy agresszívabb kibertámadások során JavaScriptet is alkalmazhattak volna, amely képes volt csendben kiszivárogtatni a postaláda tartalmát, ezzel egy erős kémkedési vektort létrehozva a vállalati környezetekben.

Piacfelügyeleti hiányosság szélesebb körű következményekkel

A Microsoft a bővítmények manifestjeit a kezdeti beküldési folyamat során felülvizsgálja, de a hivatkozott URL-címek által szolgáltatott élő tartalom jóváhagyása után nem folyamatosan érvényesül. Ez strukturális bizalmi rést hoz létre: a manifestet egyszer írják alá, de a hivatkozott távoli tartalom korlátlanul változhat.

Az AgreeTo bővítményt 2022 decemberében írták alá. Bár az eredeti tartalom a jóváhagyás időpontjában legitim volt, ugyanaz az URL most egy adathalász készletet szolgál ki, és a bővítmény továbbra is elérhető az áruházban.

Ez a probléma túlmutat a Microsoft ökoszisztémáján. Bármely piactér, amely egyszer hagy jóvá egy beküldést a távoli dinamikus függőségek folyamatos monitorozása nélkül, hasonló kockázatoknak van kitéve. A strukturális gyengeség minden platformon egységes: ha egyszer jóváhagyunk, a bizalom korlátlan ideig fennáll.

Stratégiai mérséklő intézkedések a piaci kockázatok csökkentésére

Az AgreeToSteal által feltárt rendszerszintű gyengeségek kezelésére a biztonsági szakértők számos ellenintézkedést javasolnak:

  • Automatikus újraellenőrzések indítása, amikor egy bővítmény hivatkozott URL-címe olyan tartalmat kezd megjeleníteni, amely lényegesen eltér az eredetileg ellenőrzötttől.
  • Végezzen el domain tulajdonjog-ellenőrzést annak megerősítésére, hogy az infrastruktúra továbbra is a fejlesztő felügyelete alatt marad, és jelölje meg a bővítményeket, ha megváltozik a tárhely tulajdonjoga.
  • Hozzon létre mechanizmusokat a felhasználók figyelmeztetésére vagy a megadott időn belül nem frissített bővítmények eltávolítására.
  • A kijelzők telepítési számai segítenek felmérni a kitettséget és a lehetséges hatást.

A modern kiterjesztési ökoszisztémákban az ellátási lánc kockázatainak mérsékléséhez elengedhetetlen az élő tartalom folyamatos monitorozása, ahelyett, hogy kizárólag a statikus manifeszt jóváhagyásra hagyatkoznánk.

Ébresztő a dinamikus függőségi bizalmi modellek számára

Az AgreeToSteal kampány egy alapvető kihívást illusztrál a kortárs szoftverterjesztési modellekben. Az Office-bővítmények, böngészőbővítmények és hasonló, piactéren üzemeltetett eszközök gyakran távoli, dinamikusan kiszolgált tartalomra támaszkodnak.

Időszakos újraellenőrzés és viselkedés-monitorozás nélkül a megbízható alkalmazások észrevétlenül támadási vektorokká fejlődhetnek.

Ez az eset figyelmeztetésként szolgál mind a platformüzemeltetők, mind a vállalati védelmezők számára: a bizalmat folyamatosan ellenőrizni kell, különösen távoli infrastruktúra és dinamikus függőségek esetén.

Felkapott

TeamPCP féreg

Advanced Persistent Threat (APT), Malware, Férgek
Kiberbiztonsági kutatók lelepleztek egy átfogó, féregvezérelt kampányt, amely szisztematikusan célozza meg a felhőalapú környezeteket, hogy rosszindulatú infrastruktúrát hozzon létre a későbbi kihasználás érdekében. A művelethez kapcsolódó tevékenységet 2025. december 25. körül figyelték meg, feltárva a modern felhőalapú rendszerekben elérhető szolgáltatások és sebezhetőségek összehangolt...

Legnézettebb

Betöltés...