Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Pajtohem me shtesën keqdashëse të Outlook-ut

Pajtohem me shtesën keqdashëse të Outlook-ut

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar atë që besohet të jetë shtesa e parë e njohur keqdashëse e Microsoft Outlook e zbuluar në natyrë. Fushata, me emrin e koduar AgreeToSteal, përfaqëson një sulm të ri dhe shqetësues të zinxhirit të furnizimit që abuzon me besimin në ekosistemin e shtesave Office të Microsoft.

Në këtë incident, një aktor kërcënimi rrëmbeu domenin e lidhur me një shtesë të braktisur, por legjitime të Outlook-ut. Duke ripërdorur infrastrukturën e skaduar, sulmuesi vendosi një faqe hyrjeje të falsifikuar të Microsoft-it dhe mblodhi me sukses më shumë se 4,000 kredenciale përdoruesi.

Ky zbulim sinjalizon një fazë të re në kërcënimet e zinxhirit të furnizimit të bazuar në treg, këtë herë duke synuar në thelb softuerin e produktivitetit të ndërmarrjeve.

Nga Mjeti i Produktivitetit në Vektorin e Phishing-ut

Shtojca e kompromentuar, e njohur si AgreeTo, u zhvillua fillimisht për të ndihmuar përdoruesit të konsolidojnë kalendarë të shumtë dhe të ndajnë disponueshmërinë përmes emailit. U përditësua për herë të fundit në dhjetor 2022.

Ndryshe nga fushatat tradicionale të shpërndarjes së programeve keqdashëse, ky sulm nuk përfshinte shfrytëzimin e një dobësie në bazën e kodit. Në vend të kësaj, ai shfrytëzoi një dobësi strukturore në mënyrën se si funksionojnë shtesat e Office. Studiuesit e klasifikojnë këtë si një variant të sulmeve të vëzhguara më parë që prekin zgjerimet e shfletuesit, paketat npm dhe shtojcat IDE, kanale të besueshme shpërndarjeje ku përmbajtja e miratuar mund të ndryshojë më vonë pa shkaktuar shqyrtim.

Shtojcat e Office sjellin rrezik të shtuar për shkak të disa faktorëve përbërës:

  • Ato ekzekutohen direkt brenda Outlook, ku trajtohen komunikime shumë të ndjeshme.
  • Ata mund të kërkojnë leje të fuqishme, duke përfshirë aftësinë për të lexuar dhe modifikuar email-et.
  • Ato shpërndahen përmes dyqanit zyrtar të Microsoft-it, duke trashëguar besimin implicit të përdoruesit.

Rasti AgreeTo nënvizon një realitet kritik: zhvilluesi origjinal nuk bëri asgjë keqdashëse. Një produkt legjitim u krijua dhe më vonë u braktis. Sulmi shfrytëzoi hendekun midis braktisjes së projektit dhe mbikëqyrjes së tregut.

Shfrytëzimi i Arkitekturës së Shtojcave të Office

Në zemër të incidentit qëndron dizajni i shtojcave të Office. Zhvilluesit i paraqesin shtojcat e tyre përmes Qendrës së Partnerëve të Microsoft-it, ku zgjidhja i nënshtrohet shqyrtimit dhe miratimit. Megjithatë, miratimi lidhet kryesisht me një skedar manifesti, jo me një paketë kodi statik.

Shtojcat e Office ndryshojnë thelbësisht nga softuerët konvencionalë. Në vend që të dërgohet kod i paketuar, skedari i manifestit specifikon një URL. Sa herë që shtesa hapet brenda Outlook, aplikacioni merr përmbajtje të drejtpërdrejtë nga ajo URL dhe e paraqet atë brenda një iframe.

Ky model arkitekturor prezanton një ekspozim kritik: pasi të miratohet dhe nënshkruhet, shtesa vazhdon të ngarkojë çdo përmbajtje që URL-ja e referuar ofron në kohë reale. Nëse kontrolli i asaj URL-je ndryshon, për shkak të skadimit të domenit ose braktisjes së infrastrukturës, përmbajtja keqdashëse mund të futet pa modifikuar manifestin e nënshkruar.

Në rastin AgreeTo, manifesti i referohej një URL-je të hostuar nga Vercel (outlook-one.vercel[.]app). Pasi vendosja e zhvilluesit u fshi dhe projekti u bë në mënyrë efektive abandonedware rreth vitit 2023, URL-ja u bë e pretendueshme. Një sulmues mori kontrollin e saj ndërsa shtesa mbeti e listuar në dyqanin e Microsoft.

Sipas raportimit, infrastruktura mbetet aktive.

Ekzekutimi i Phishing dhe Ekfiltrimi i Kredencialeve

Pasi pretendoi se shpërndarja ishte braktisur, sulmuesi strehoi një kit phishing në URL-në e referuar. Përmbajtja keqdashëse shfaqi një faqe të rreme hyrjeje të Microsoft-it, të projektuar për të kapur kredencialet e përdoruesit.

Fjalëkalimet e kapura u nxorën duke përdorur API-n e Botit të Telegramit. Viktimat më pas u ridrejtuan në faqen legjitime të hyrjes në Microsoft, duke zvogëluar dyshimet dhe duke rritur gjasat e vjedhjes së suksesshme të kredencialeve.

Ndërsa aktiviteti i vëzhguar u përqendrua në mbledhjen e kredencialeve, studiuesit paralajmërojnë se ndikimi mund të ketë qenë dukshëm më i rëndë. Shtesa u konfigurua me lejet ReadWriteItem, duke mundësuar mundësinë për të lexuar dhe modifikuar email-et e përdoruesve. Një aktor kërcënimi më agresiv mund të kishte vendosur JavaScript të aftë për të nxjerrë në heshtje përmbajtjen e kutisë postare, duke krijuar një vektor të fuqishëm spiunazhi brenda mjediseve të ndërmarrjeve.

Një boshllëk mbikëqyrës në treg me implikime më të gjera

Microsoft shqyrton manifestet e shtesave gjatë procesit fillestar të dorëzimit, por nuk ka validim të vazhdueshëm të përmbajtjes së drejtpërdrejtë të shërbyer nga URL-të e referuara pas miratimit. Kjo krijon një boshllëk strukturor besimi: manifesti nënshkruhet një herë, megjithatë përmbajtja në distancë që ai referon mund të ndryshojë për një kohë të pacaktuar.

Shtesa AgreeTo u nënshkrua në dhjetor 2022. Edhe pse përmbajtja origjinale ishte e ligjshme në kohën e miratimit, e njëjta URL tani shërben si një pajisje për phishing dhe shtesa mbetet e disponueshme në dyqan.

Ky problem shtrihet përtej ekosistemit të Microsoft-it. Çdo treg që miraton një dorëzim një herë pa monitorim të vazhdueshëm të varësive dinamike në distancë është i ekspozuar ndaj rreziqeve të ngjashme. Dobësia strukturore është e qëndrueshme në të gjitha platformat: mirato një herë, beso për një kohë të pacaktuar.

Zbutjet Strategjike për të Ulur Rrezikun e Tregut

Për të adresuar dobësitë sistemike të ekspozuara nga AgreeToSteal, ekspertët e sigurisë rekomandojnë disa kundërmasa:

  • Aktivizoni rishikimet automatike kur URL-ja e referuar e një shtese fillon të shfaqë përmbajtje që ndryshon ndjeshëm nga ajo që është shqyrtuar fillimisht.
  • Zbatoni validimin e pronësisë së domenit për të konfirmuar që infrastruktura mbetet nën kontrollin e zhvilluesit dhe sinjalizoni shtesat aty ku ndryshon pronësia e strehimit.
  • Vendosni mekanizma për të hequr nga lista ose për të paralajmëruar përdoruesit rreth shtesave që nuk janë përditësuar brenda afateve të përcaktuara kohore.
  • Shfaq numrin e instalimeve për të ndihmuar në vlerësimin e ekspozimit dhe ndikimit të mundshëm.

Monitorimi i vazhdueshëm i përmbajtjes së drejtpërdrejtë, në vend që të mbështetet vetëm në miratimin statik të manifestit, është thelbësor për të zbutur rreziqet e zinxhirit të furnizimit në ekosistemet moderne të zgjerimit.

Një thirrje zgjimi për modelet e besimit të varësisë dinamike

Fushata AgreeToSteal ilustron një sfidë themelore në modelet bashkëkohore të shpërndarjes së softuerëve. Shtojcat e Office, zgjerimet e shfletuesve dhe mjete të ngjashme të hostuara në treg shpesh mbështeten në përmbajtje të largët, të servirur dinamikisht.

Pa riskanim periodik dhe monitorim të sjelljes, aplikacionet e besuara mund të evoluojnë në heshtje në vektorë sulmi.

Ky rast shërben si një paralajmërim si për operatorët e platformave ashtu edhe për mbrojtësit e ndërmarrjeve: besimi duhet të validohet vazhdimisht, veçanërisht kur bëhet fjalë për infrastrukturë të largët dhe varësi dinamike.

Në trend

TeamPCP Worm

Kërcënimi i avancuar i vazhdueshëm (APT), Malware, Krimbat
Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë gjithëpërfshirëse të drejtuar nga krimba që synon sistematikisht mjediset cloud-native për të ndërtuar infrastrukturë dashakeqe për shfrytëzim të mëvonshëm. Aktiviteti i lidhur me këtë operacion u vu re rreth 25 dhjetorit 2025, duke zbuluar një përpjekje të koordinuar për të abuzuar me shërbimet dhe dobësitë e ekspozuara në të gjitha...

Më e shikuara

Po ngarkohet...