O add-in AgreeTo para Outlook foi sequestrado e transformado em um kit de phishing que roubou mais de 4 mil credenciais de contas Microsoft.
Originalmente, o AgreeTo era uma ferramenta legítima de agendamento de reuniões para usuários do Outlook, desenvolvida por um editor independente e disponível na Microsoft Office Add-in Store desde dezembro de 2022.
Os add-ins do Office funcionam basicamente como URLs que carregam conteúdos hospedados nos servidores dos desenvolvedores dentro dos produtos Microsoft.
No caso do AgreeTo, o endereço era hospedado na plataforma Vercel (outlook-one.vercel.app), mas o projeto foi abandonado, apesar de contar com uma base considerável de usuários.
Mesmo assim, o complemento permaneceu listado na loja da Microsoft.
Um atacante passou então a controlar essa URL órfã e implantou um kit de phishing no lugar.
Pesquisadores da empresa de segurança de cadeia de suprimentos Koi informam que o invasor adicionou uma página falsa de login Microsoft, uma página para coleta de senhas, um script de exfiltração e um redirecionamento.
Vale destacar que, após a aprovação inicial de um add-in na Microsoft Store, não há um processo contínuo de verificação.
Na submissão, a Microsoft revisa apenas o arquivo manifesto do módulo e o assina para aprovação.
O AgreeTo já havia sido aprovado e carregava todos os recursos — interface de usuário e interações — diretamente do servidor do desenvolvedor, agora controlado pelo atacante.
Os pesquisadores da Koi descobriram a invasão e tiveram acesso ao canal de exfiltração do invasor.
Lá, constataram que mais de 4 mil credenciais Microsoft foram roubadas, além de números de cartão de crédito e respostas de segurança bancária.
O add-in permaneceu ativo na loja até esta semana, quando a Microsoft finalmente o removeu.
Durante a análise, a Koi identificou que o atacante testava ativamente as credenciais roubadas.
Quando o usuário abria o AgreeTo malicioso no Outlook, em vez da interface de agendamento, aparecia uma página falsa de login Microsoft no painel lateral do programa — quase indistinguível da legítima.
As credenciais digitadas eram enviadas via API do bot Telegram para os criminosos, enquanto a vítima era redirecionada para a página oficial da Microsoft para evitar suspeitas.
Observa-se que o add-in manteve permissões ReadWriteItem, permitindo ler e modificar e-mails do usuário, embora não tenha sido confirmada nenhuma alteração desse tipo.
A Koi Security identificou que o operador desse ataque administra pelo menos uma dúzia de outros kits de phishing, com alvos em provedores de internet, bancos e serviços de webmail.
Embora add-ins maliciosos não sejam novidade, eles costumam ser espalhados via spam, e-mails de phishing e malvertising.
O caso do AgreeTo é singular por ser provavelmente o primeiro malware hospedado no marketplace oficial da Microsoft.
O pesquisador da Koi Security Oren Yomtov afirmou ao site BleepingComputer que este é o primeiro malware identificado na Microsoft Store oficial e o primeiro add-in malicioso para Outlook detectado em ambiente real.
Se você ainda tem o AgreeTo instalado no Outlook, a recomendação é removê-lo imediatamente e alterar suas senhas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...