Попуст за више лиценци
Тхреат Датабасе Малваре Злонамерни додатак за Outlook се слажем

Злонамерни додатак за Outlook се слажем

До Mezo. у Малваре, Напредна трајна претња (АПТ)
Преведи на:

Истраживачи сајбер безбедности открили су оно што се сматра првим познатим злонамерним додатком за Microsoft Outlook откривеним у јавности. Кампања, под кодним називом AgreeToSteal, представља нови и проблематичан напад на ланац снабдевања који злоупотребљава поверење у екосистем додатака за Microsoft Office.

У овом инциденту, нападач је отео домен повезан са напуштеним, али легитимним додатком за Outlook. Пренаменом истекле инфраструктуре, нападач је поставио лажну страницу за пријаву на Microsoft и успешно прикупио више од 4.000 корисничких акредитива.

Ово откриће сигнализира нову фазу у претњама ланцу снабдевања заснованом на тржишту, овог пута усмереним на софтвер за продуктивност предузећа у његовој сржи.

Од алата за продуктивност до вектора фишинга

Угрожени додатак, познат као AgreeTo, првобитно је развијен да помогне корисницима да обједине више календара и деле доступност путем е-поште. Последњи пут је ажуриран у децембру 2022. године.

За разлику од традиционалних кампања дистрибуције злонамерног софтвера, овај напад није укључивао искоришћавање рањивости у кодној бази. Уместо тога, искористио је структурну слабост у начину функционисања Office додатака. Истраживачи ово класификују као варијацију претходно примећених напада који утичу на екстензије прегледача, npm пакете и IDE додатке, поуздане канале дистрибуције где одобрени садржај може касније да се промени без покретања контроле.

Додаци за Office представљају повећан ризик због неколико фактора који се узајамно склапају:

  • Извршавају се директно у програму Outlook, где се обрађују веома осетљиве комуникације.
  • Могу захтевати снажне дозволе, укључујући могућност читања и измене имејлова.
  • Дистрибуирају се преко званичне Мајкрософтове продавнице, наслеђујући имплицитно поверење корисника.

Случај AgreeTo подвлачи критичну стварност: оригинални програмер није урадио ништа злонамерно. Легитиман производ је креиран, а касније напуштен. Напад је искористио јаз између напуштања пројекта и надзора тржишта.

Искоришћавање архитектуре додатака за Office

У сржи инцидента лежи дизајн додатака за Office. Програмери подносе своје додатке путем Мајкрософтовог партнерског центра, где решење пролази кроз преглед и одобравање. Међутим, одобравање је углавном везано за датотеку манифеста, а не за пакет статичког кода.

Додаци за Office се фундаментално разликују од конвенционалног софтвера. Уместо да се испоручује пакет кода, датотека манифеста наводи URL адресу. Сваки пут када се додатак отвори у Outlook-у, апликација преузима садржај уживо са те URL адресе и приказује га унутар iframe-а.

Овај архитектонски модел уводи критичну изложеност: након одобрења и потписивања, додатак наставља да учитава садржај који референцирана URL адреса приказује у реалном времену. Ако се контрола те URL адресе промени, због истека домена или напуштања инфраструктуре, злонамерни садржај може бити уведен без измене потписаног манифеста.

У случају AgreeTo, манифест је наводио URL адресу хостовану на Vercel-у (outlook-one.vercel[.]app). Након што је програмерово имплементирање обрисано и пројекат је ефикасно постао напуштен око 2023. године, URL је постао доступан за полагање права. Нападач је преузео контролу над њим док је додатак остао наведен у Microsoft-овој продавници.

Према извештајима, инфраструктура је и даље активна.

Извршавање фишинга и крађа акредитива

Након што је преузео напуштено распоређивање, нападач је поставио комплет за фишинг на наведеној УРЛ адреси. Злонамерни садржај је приказивао лажну Мајкрософт страницу за пријављивање дизајнирану за хватање корисничких акредитива.

Украдене лозинке су украдене помоћу Telegram Bot API-ја. Жртве су затим преусмерене на легитимну Microsoft страницу за пријаву, смањујући сумњу и повећавајући вероватноћу успешне крађе акредитива.

Иако је посматрана активност била усмерена на прикупљање акредитива, истраживачи упозоравају да је утицај могао бити знатно озбиљнији. Додатак је био конфигурисан са дозволама ReadWriteItem, што је омогућавало читање и измену корисничких имејлова. Агресивнији претњак је могао да примени JavaScript способан за тихо крађе садржаја поштанског сандучета, стварајући моћан вектор шпијунаже у пословним окружењима.

Јаз у надзору тржишта са ширим импликацијама

Мајкрософт прегледа манифесте додатака током почетног процеса слања, али не постоји континуирана валидација живог садржаја који се приказује преко референцираних URL-ова након одобрења. Ово ствара структурни јаз у поверењу: манифест се потписује једном, али удаљени садржај на који се позива може се мењати унедоглед.

Програмски додатак AgreeTo је потписан у децембру 2022. Иако је оригинални садржај био легитиман у време одобрења, исти URL сада служи као комплет за фишинг, а додатак је и даље доступан у продавници.

Овај проблем се протеже изван Мајкрософтовог екосистема. Свако тржиште које једном одобри поднеску пријаву без континуираног праћења удаљених динамичких зависности изложено је сличним ризицима. Структурна слабост је доследна на свим платформама: једном одобри, веруј неограничено.

Стратешке мере ублажавања за смањење ризика на тржишту

Да би се решиле системске слабости које је открио AgreeToSteal, стручњаци за безбедност препоручују неколико контрамера:

  • Покрените аутоматске поновне прегледе када URL адреса на коју се позива додатак почне да приказује садржај који се значајно разликује од онога што је првобитно прегледано.
  • Имплементирајте валидацију власништва над доменом како бисте потврдили да инфраструктура остаје под контролом програмера и означите додатке тамо где се мења власништво над хостингом.
  • Успоставите механизме за уклањање или упозоравање корисника о додацима који нису ажурирани у дефинисаним временским оквирима.
  • Прикажите број инсталација како бисте лакше проценили изложеност и потенцијални утицај.

Континуирано праћење садржаја уживо, уместо ослањања искључиво на одобрење статичког манифеста, је од суштинског значаја за ублажавање ризика у ланцу снабдевања у модерним екосистемима проширења.

Позив на буђење за моделе динамичке зависности и поверења

Кампања „AgreeToSteal“ илуструје фундаментални изазов у савременим моделима дистрибуције софтвера. Додаци за Office, проширења за прегледач и слични алати хостовани на тржишту често се ослањају на удаљени, динамички приказани садржај.

Без периодичног поновног скенирања и праћења понашања, поуздане апликације могу непометно да еволуирају у векторе напада.

Овај случај служи као упозорење оператерима платформи и заштитницима предузећа: поверење се мора континуирано потврђивати, посебно када је у питању удаљена инфраструктура и динамичке зависности.

У тренду

TeamPCP црв

Напредна трајна претња (АПТ), Малваре, Црви
Истраживачи сајбер безбедности открили су свеобухватну кампању вођену црвима која систематски циља cloud-нативна окружења како би изградила злонамерну инфраструктуру за каснију експлоатацију. Активност повезана са овом операцијом примећена је око 25. децембра 2025. године, откривајући координисани напор злоупотребе изложених сервиса и рањивости у модерним cloud стековима. TeamPCP: Брзо растући...

Превара са Трамповим поклоном криптовалута

Рогуе Вебситес
Опрез приликом прегледања веба никада није био важнији. Сајбер криминалци континуирано усавршавају своје тактике, искоришћавајући популарне теме, јавне личности и нове технологије како би обманули...

Најгледанији

Злонамерних програма

Пецање, Спам
26,373
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...