Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Zgadzam się na złośliwy dodatek do programu Outlook

Zgadzam się na złośliwy dodatek do programu Outlook

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Badacze cyberbezpieczeństwa odkryli prawdopodobnie pierwszą znaną złośliwą wtyczkę do programu Microsoft Outlook wykrytą na wolności. Kampania o kryptonimie AgreeToSteal to nowy i niepokojący atak na łańcuch dostaw, który nadużywa zaufania do ekosystemu dodatków do pakietu Office firmy Microsoft.

W tym incydencie atakujący przejął domenę powiązaną z porzuconą, ale legalną wtyczką do Outlooka. Wykorzystując wygasłą infrastrukturę, atakujący wdrożył fałszywą stronę logowania Microsoft i skutecznie pozyskał ponad 4000 danych uwierzytelniających użytkowników.

Odkrycie to zwiastuje nową fazę zagrożeń dla łańcucha dostaw na rynku, tym razem ukierunkowanych w głównej mierze na oprogramowanie zwiększające produktywność przedsiębiorstwa.

Od narzędzia zwiększającego produktywność do wektora phishingu

Zainfekowany dodatek, znany jako AgreeTo, został pierwotnie opracowany, aby pomóc użytkownikom w konsolidacji wielu kalendarzy i udostępnianiu dostępności za pośrednictwem poczty e-mail. Ostatnia aktualizacja miała miejsce w grudniu 2022 roku.

W przeciwieństwie do tradycyjnych kampanii dystrybucji złośliwego oprogramowania, ten atak nie polegał na wykorzystaniu luki w kodzie. Zamiast tego, wykorzystał on strukturalną słabość w działaniu dodatków do pakietu Office. Badacze klasyfikują to jako odmianę wcześniej zaobserwowanych ataków na rozszerzenia przeglądarek, pakiety npm i wtyczki IDE – zaufane kanały dystrybucji, gdzie zatwierdzona zawartość może później ulec zmianie bez konieczności kontroli.

Dodatki do pakietu Office wiążą się ze zwiększonym ryzykiem ze względu na kilka czynników złożonych:

  • Są one wykonywane bezpośrednio w programie Outlook, w którym przetwarzane są szczególnie poufne komunikaty.
  • Mogą żądać uprawnień o szerokim zakresie, w tym możliwości czytania i modyfikowania wiadomości e-mail.
  • Są one dystrybuowane za pośrednictwem oficjalnego sklepu Microsoftu, opierając się na zaufaniu użytkowników.

Przypadek AgreeTo uwypukla istotną prawdę: pierwotny twórca nie zrobił nic złośliwego. Stworzono legalny produkt, który później porzucono. Atak wykorzystał lukę między porzuceniem projektu a nadzorem rynku.

Wykorzystanie architektury dodatków Office

Sednem incydentu jest projekt dodatków do pakietu Office. Deweloperzy przesyłają swoje dodatki za pośrednictwem Centrum Partnerskiego Microsoft, gdzie rozwiązanie przechodzi proces weryfikacji i zatwierdzenia. Proces zatwierdzenia jest jednak w dużej mierze powiązany z plikiem manifestu, a nie ze statycznym pakietem kodu.

Dodatki do pakietu Office różnią się zasadniczo od konwencjonalnego oprogramowania. Zamiast dostarczać gotowy kod, plik manifestu określa adres URL. Za każdym razem, gdy dodatek jest otwierany w programie Outlook, aplikacja pobiera dynamiczną zawartość z tego adresu URL i renderuje ją w ramce iframe.

Ten model architektoniczny wprowadza krytyczne zagrożenie: po zatwierdzeniu i podpisaniu, dodatek kontynuuje ładowanie dowolnej zawartości, do której odwołuje się adres URL, w czasie rzeczywistym. Jeśli kontrola nad tym adresem URL ulegnie zmianie z powodu wygaśnięcia domeny lub porzucenia infrastruktury, złośliwa zawartość może zostać wprowadzona bez konieczności modyfikowania podpisanego manifestu.

W przypadku AgreeTo manifest odwoływał się do adresu URL hostowanego przez Vercel (outlook-one.vercel[.]app). Po usunięciu wdrożenia dewelopera i faktycznym uznaniu projektu za porzucony (abandware) około 2023 roku, adres URL stał się możliwy do przejęcia. Atakujący przejął nad nim kontrolę, podczas gdy dodatek pozostał w sklepie Microsoftu.

W chwili składania raportu infrastruktura pozostaje aktywna.

Wykonywanie ataków phishingowych i eksfiltracja danych uwierzytelniających

Po przejęciu porzuconego wdrożenia, atakujący umieścił pod wskazanym adresem URL zestaw narzędzi phishingowych. Złośliwa treść wyświetlała fałszywą stronę logowania Microsoft, mającą na celu przechwycenie danych uwierzytelniających użytkownika.

Przechwycone hasła zostały wykradzione za pomocą interfejsu API Telegram Bot. Ofiary były następnie przekierowywane na legalną stronę logowania Microsoft, co zmniejszało podejrzenia i zwiększało prawdopodobieństwo skutecznej kradzieży danych uwierzytelniających.

Chociaż obserwowana aktywność koncentrowała się na gromadzeniu danych uwierzytelniających, badacze ostrzegają, że skutki mogły być znacznie poważniejsze. Dodatek został skonfigurowany z uprawnieniami ReadWriteItem, umożliwiającymi odczyt i modyfikację wiadomości e-mail użytkowników. Bardziej agresywny cyberprzestępca mógł wdrożyć JavaScript zdolny do dyskretnego wykradania zawartości skrzynek pocztowych, tworząc w ten sposób potężny wektor szpiegowski w środowiskach korporacyjnych.

Luka w nadzorze rynkowym mająca szersze implikacje

Firma Microsoft weryfikuje manifesty dodatków na etapie wstępnego przesyłania, ale po zatwierdzeniu nie ma ciągłej weryfikacji zawartości na żywo dostarczanej przez wskazane adresy URL. Powoduje to strukturalną lukę w zaufaniu: manifest jest podpisany raz, a zawartość zdalna, do której się odwołuje, może się zmieniać w nieskończoność.

Dodatek AgreeTo został podpisany w grudniu 2022 r. Chociaż oryginalna treść była legalna w momencie zatwierdzenia, ten sam adres URL służy teraz do phishingu, a dodatek pozostaje dostępny w sklepie.

Ten problem wykracza poza ekosystem Microsoftu. Każdy rynek, który zatwierdza zgłoszenie jednokrotnie bez stałego monitorowania zdalnych, dynamicznych zależności, jest narażony na podobne ryzyko. Słabość strukturalna jest spójna na wszystkich platformach: zatwierdź raz, zaufaj na zawsze.

Strategiczne środki łagodzące mające na celu redukcję ryzyka rynkowego

Aby zaradzić systemowym słabościom ujawnionym przez AgreeToSteal, eksperci ds. bezpieczeństwa zalecają podjęcie kilku środków zaradczych:

  • Uruchom automatyczne ponowne sprawdzanie, gdy adres URL dodatku zacznie wyświetlać treść znacząco różniącą się od treści pierwotnie sprawdzanej.
  • Wprowadź weryfikację własności domeny, aby upewnić się, że infrastruktura pozostaje pod kontrolą dewelopera, i oznacz dodatki, gdy zmieni się własność hostingu.
  • Ustanowić mechanizmy usuwania z listy lub ostrzegania użytkowników o dodatkach, które nie zostały zaktualizowane w określonym czasie.
  • Liczba instalacji wyświetlacza pozwala na ocenę narażenia i potencjalnego wpływu.

W nowoczesnych ekosystemach rozszerzeń kluczowe znaczenie dla ograniczania ryzyka w łańcuchu dostaw ma ciągłe monitorowanie treści na żywo, zamiast polegania wyłącznie na statycznym zatwierdzeniu manifestu.

Sygnał ostrzegawczy dla dynamicznych modeli zaufania opartych na zależnościach

Kampania AgreeToSteal ilustruje fundamentalne wyzwanie, z jakim borykają się współczesne modele dystrybucji oprogramowania. Dodatki do pakietu Office, rozszerzenia przeglądarek i podobne narzędzia hostowane w sklepach często opierają się na zdalnej, dynamicznie dostarczanej zawartości.

Bez okresowego skanowania i monitorowania zachowań zaufane aplikacje mogą niepostrzeżenie stać się wektorami ataków.

Przypadek ten stanowi przestrogę zarówno dla operatorów platform, jak i obrońców przedsiębiorstw: zaufanie musi być stale weryfikowane, szczególnie gdy w grę wchodzi zdalna infrastruktura i dynamiczne zależności.

Popularne

Robak TeamPCP

Zaawansowane trwałe zagrożenie (APT), Złośliwe oprogramowanie, Robaki
Badacze cyberbezpieczeństwa odkryli szeroko zakrojoną kampanię opartą na robakach, która systematycznie atakuje środowiska chmurowe w celu zbudowania złośliwej infrastruktury, która następnie może zostać wykorzystana. Aktywność związana z tą operacją została zaobserwowana około 25 grudnia 2025 roku, co wskazuje na skoordynowane działania mające na celu wykorzystanie ujawnionych usług i luk w...

Najczęściej oglądane

Ładowanie...