Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Злонамерена добавка за Outlook AgreeTo

Злонамерена добавка за Outlook AgreeTo

До Mezo през Зловреден софтуер, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Изследователи по киберсигурност откриха това, което се смята за първата известна злонамерена добавка за Microsoft Outlook, открита в реално време. Кампанията с кодово име AgreeToSteal представлява нова и обезпокоителна атака срещу веригата за доставки, която злоупотребява с доверието в екосистемата от добавки за Office на Microsoft.

В този инцидент, злонамерен персонаж е откраднал домейна, свързан с изоставена, но легитимна добавка за Outlook. Чрез повторно използване на изтеклата инфраструктура, нападателят е внедрил фалшива страница за вход в Microsoft и успешно е откраднал повече от 4000 потребителски идентификационни данни.

Това откритие сигнализира за нова фаза в заплахите за веригата за доставки, базирани на пазара, този път насочени към софтуера за корпоративна продуктивност в основата му.

От инструмент за продуктивност до фишинг вектор

Компрометираната добавка, известна като AgreeTo, първоначално е разработена, за да помогне на потребителите да консолидират множество календари и да споделят наличност чрез имейл. Последно е актуализирана през декември 2022 г.

За разлика от традиционните кампании за разпространение на зловреден софтуер, тази атака не включваше експлоатация на уязвимост в кодовата база. Вместо това, тя се възползва от структурна слабост във функционирането на добавките на Office. Изследователите класифицират това като вариант на наблюдавани по-рано атаки, засягащи разширения на браузъра, npm пакети и IDE плъгини – надеждни канали за разпространение, където одобреното съдържание може по-късно да се промени, без да се предизвика проверка.

Добавките за Office носят повишен риск поради няколко комбиниращи фактора:

  • Те се изпълняват директно в Outlook, където се обработват високочувствителни комуникации.
  • Те могат да поискат мощни разрешения, включително възможността за четене и промяна на имейли.
  • Те се разпространяват чрез официалния магазин на Microsoft, наследявайки имплицитно потребителско доверие.

Случаят AgreeTo подчертава една критична реалност: оригиналният разработчик не е направил нищо злонамерено. Създаден е легитимен продукт, който по-късно е изоставен. Атаката е използвала разликата между изоставянето на проекта и надзора на пазара.

Използване на архитектурата на добавките на Office

В основата на инцидента е дизайнът на добавките на Office. Разработчиците подават своите добавки чрез Центъра за партньори на Microsoft, където решението преминава през преглед и одобрение. Одобрението обаче до голяма степен е обвързано с файл с манифест, а не със статичен пакет с код.

Добавките на Office се различават коренно от конвенционалния софтуер. Вместо да доставя включен код, файлът с манифеста указва URL адрес. Всеки път, когато добавката се отвори в Outlook, приложението извлича съдържание на живо от този URL адрес и го рендира във iframe.

Този архитектурен модел въвежда критично излагане: след като бъде одобрена и подписана, добавката продължава да зарежда в реално време каквото и да е съдържание, което посочената URL адресна връзка предоставя. Ако контролът върху тази URL адресна връзка се промени поради изтичане на домейн или изоставяне на инфраструктурата, може да бъде въведено злонамерено съдържание без промяна на подписания манифест.

В случая AgreeTo, манифестът е препращал към URL адрес, хостван от Vercel (outlook-one.vercel[.]app). След като внедряването на разработчика е било изтрито и проектът е станал ефективно abandonware около 2023 г., URL адресът е станал достъпен за заявяване. Хакер е поел контрола върху него, докато добавката е останала в списъка на магазина на Microsoft.

Към момента на докладването инфраструктурата остава активна.

Изпълнение на фишинг и кражба на идентификационни данни

След като заяви правата си за изоставено внедряване, нападателят разположи фишинг комплект на посочения URL адрес. Злонамереното съдържание показваше фалшива страница за вход в Microsoft, предназначена да прихване потребителски идентификационни данни.

Заловените пароли бяха откраднати с помощта на Telegram Bot API. След това жертвите бяха пренасочвани към легитимната страница за вход в Microsoft, което намали подозренията и увеличи вероятността за успешна кражба на идентификационни данни.

Въпреки че наблюдаваната активност е била фокусирана върху събирането на идентификационни данни, изследователите предупреждават, че въздействието може да е било значително по-сериозно. Добавката е била конфигурирана с разрешения ReadWriteItem, което е позволявало четене и промяна на потребителски имейли. По-агресивен хакер би могъл да е внедрил JavaScript, способен незабелязано да извлича съдържанието на пощенските кутии, създавайки мощен вектор за шпионаж в корпоративни среди.

Пропуск в надзора на пазара с по-широки последици

Microsoft преглежда манифестите на добавките по време на първоначалния процес на подаване, но няма непрекъсната проверка на живо съдържание, предоставяно от посочените URL адреси след одобрение. Това създава структурна празнина в доверието: манифестът се подписва веднъж, но отдалеченото съдържание, към което се отнася, може да се променя за неопределено време.

Добавката AgreeTo беше подписана през декември 2022 г. Въпреки че оригиналното съдържание е било легитимно към момента на одобрението, същият URL адрес сега служи за фишинг комплект и добавката остава налична в магазина.

Този проблем се простира отвъд екосистемата на Microsoft. Всеки пазар, който одобрява заявка веднъж без постоянно наблюдение на отдалечени динамични зависимости, е изложен на подобни рискове. Структурната слабост е еднаква във всички платформи: одобряваш веднъж, доверяваш се за неопределено време.

Стратегически смекчаващи мерки за намаляване на риска на пазара

За да се справят със системните слабости, разкрити от AgreeToSteal, експертите по сигурността препоръчват няколко контрамерки:

  • Задействайте автоматични повторни прегледи, когато посочената URL адресна адресна връзка на добавката започне да показва съдържание, което се различава съществено от първоначално прегледаното.
  • Внедрете валидиране на собствеността на домейна, за да потвърдите, че инфраструктурата остава под контрола на разработчика, и маркирайте добавките, където собствеността на хостинга се променя.
  • Създайте механизми за премахване или предупреждение на потребителите за добавки, които не са актуализирани в рамките на определени срокове.
  • Покажете броя на инсталациите, за да помогнете за оценката на експозицията и потенциалното въздействие.

Непрекъснатото наблюдение на живо съдържание, вместо да се разчита единствено на одобрение на статични манифести, е от съществено значение за смекчаване на рисковете във веригата за доставки в съвременните екосистеми за разширение.

Сигнал за събуждане за динамичните модели на доверие, основани на зависимост

Кампанията AgreeToSteal илюстрира фундаментално предизвикателство в съвременните модели за разпространение на софтуер. Добавките за Office, разширенията за браузър и подобни инструменти, хоствани на платформата, често разчитат на отдалечено, динамично предоставяно съдържание.

Без периодично повторно сканиране и поведенчески мониторинг, надеждните приложения могат тихомълком да се превърнат във вектори на атака.

Този случай служи като предупреждение както за операторите на платформи, така и за защитниците на предприятията: доверието трябва да се проверява непрекъснато, особено когато става въпрос за отдалечена инфраструктура и динамични зависимости.

Тенденция

Червей TeamPCP

Усъвършенствана постоянна заплаха (APT), Зловреден софтуер, Червеи
Изследователи по киберсигурност разкриха мащабна кампания, задвижвана от червеи, която систематично атакува облачни среди, за да изгради злонамерена инфраструктура за последваща експлоатация. Активност, свързана с тази операция, е наблюдавана около 25 декември 2025 г., разкривайки координирани усилия за злоупотреба с открити услуги и уязвимости в съвременните облачни стекове. TeamPCP: Бързо...

Най-гледан

Зловреден софтуер

Фишинг, Спам
26,373
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...