Rabattilbud med flere licenser
Trusseldatabase Malware Accepter skadelig Outlook-tilføjelsesprogram

Accepter skadelig Outlook-tilføjelsesprogram

Med Mezo i Malware, Advanced Persistent Threat (APT)
Oversæt til:

Cybersikkerhedsforskere har afdækket, hvad der menes at være det første kendte, ondsindede Microsoft Outlook-tilføjelsesprogram, der er opdaget i naturen. Kampagnen, med kodenavnet AgreeToSteal, repræsenterer et nyt og bekymrende angreb i forsyningskæden, der misbruger tilliden til Microsofts økosystem for Office-tilføjelsesprogrammer.

I denne hændelse kaprede en trusselsaktør domænet, der var forbundet med et forladt, men legitimt Outlook-tilføjelsesprogram. Ved at genbruge den udløbne infrastruktur implementerede angriberen en forfalsket Microsoft-loginside og med succes høstede mere end 4.000 brugerlegitimationsoplysninger.

Denne opdagelse signalerer en ny fase i markedsbaserede trusler fra forsyningskæden, denne gang rettet mod virksomhedsproduktivitetssoftware som kernen.

Fra produktivitetsværktøj til phishing-vektor

Det kompromitterede tilføjelsesprogram, kendt som AgreeTo, blev oprindeligt udviklet til at hjælpe brugere med at konsolidere flere kalendere og dele tilgængelighed via e-mail. Det blev sidst opdateret i december 2022.

I modsætning til traditionelle malware-distributionskampagner involverede dette angreb ikke udnyttelse af en sårbarhed i kodebasen. I stedet udnyttede det en strukturel svaghed i, hvordan Office-tilføjelsesprogrammer fungerer. Forskere klassificerer dette som en variation af tidligere observerede angreb, der påvirker browserudvidelser, npm-pakker og IDE-plugins, betroede distributionskanaler, hvor godkendt indhold senere kan ændres uden at udløse granskning.

Office-tilføjelsesprogrammer introducerer øget risiko på grund af flere sammensatte faktorer:

  • De kører direkte i Outlook, hvor meget følsom kommunikation håndteres.
  • De kan anmode om stærke tilladelser, herunder muligheden for at læse og ændre e-mails.
  • De distribueres via Microsofts officielle butik og arver implicit brugertillid.

AgreeTo-sagen understreger en kritisk realitet: den oprindelige udvikler gjorde intet ondsindet. Et legitimt produkt blev skabt og senere opgivet. Angrebet udnyttede kløften mellem projektopgivelse og markedspladstilsyn.

Udnyttelse af Office-tilføjelsesarkitekturen

Kernen i hændelsen ligger designet af Office-tilføjelsesprogrammer. Udviklere indsender deres tilføjelsesprogrammer via Microsofts Partner Center, hvor løsningen gennemgås og godkendes. Godkendelsen er dog i vid udstrækning knyttet til en manifestfil, ikke en statisk kodepakke.

Office-tilføjelsesprogrammer adskiller sig fundamentalt fra konventionel software. I stedet for at levere bundtet kode angiver manifestfilen en URL. Hver gang tilføjelsesprogrammet åbnes i Outlook, henter programmet liveindhold fra den URL og gengiver det i en iframe.

Denne arkitekturmodel introducerer en kritisk risiko: Når tilføjelsen er godkendt og underskrevet, fortsætter den med at indlæse det indhold, som den refererede URL viser, i realtid. Hvis kontrollen over den URL ændres på grund af domæneudløb eller opgivelse af infrastruktur, kan skadeligt indhold introduceres uden at ændre det underskrevne manifest.

I AgreeTo-sagen refererede manifestet til en Vercel-hostet URL (outlook-one.vercel[.]app). Efter at udviklerens implementering blev slettet, og projektet reelt blev abandonware omkring 2023, blev URL'en gjort krav på. En angriber tog kontrol over den, mens tilføjelsesprogrammet forblev angivet i Microsofts butik.

På tidspunktet for rapporteringen er infrastrukturen fortsat aktiv.

Phishing-udførelse og legitimationseksfiltrering

Efter at have gjort krav på den forladte implementering, hostede angriberen et phishing-kit på den refererede URL. Det skadelige indhold viste en falsk Microsoft-loginside designet til at indsamle brugeroplysninger.

De indfangede adgangskoder blev stjålet ved hjælp af Telegram Bot API'en. Ofrene blev derefter omdirigeret til den legitime Microsoft-loginside, hvilket reducerede mistanken og øgede sandsynligheden for vellykket legitimationstyveri.

Selvom den observerede aktivitet fokuserede på indsamling af legitimationsoplysninger, advarer forskere om, at effekten kunne have været betydeligt mere alvorlig. Tilføjelsesprogrammet blev konfigureret med ReadWriteItem-tilladelser, hvilket muliggjorde muligheden for at læse og ændre brugernes e-mails. En mere aggressiv trusselsaktør kunne have implementeret JavaScript, der var i stand til lydløst at infiltrere postkasseindhold og dermed skabe en kraftfuld spionagevektor i virksomhedsmiljøer.

Et hul i markedsovervågningen med bredere implikationer

Microsoft gennemgår tilføjelsesmanifester under den indledende indsendelsesproces, men der er ingen løbende validering af det liveindhold, der vises af de refererede URL'er, efter godkendelse. Dette skaber et strukturelt tillidshul: manifestet signeres én gang, men det eksterne indhold, det refererer til, kan ændres på ubestemt tid.

AgreeTo-tilføjelsesprogrammet blev underskrevet i december 2022. Selvom det oprindelige indhold var legitimt på godkendelsestidspunktet, serverer den samme URL nu et phishing-kit, og tilføjelsesprogrammet forbliver tilgængeligt i butikken.

Dette problem rækker ud over Microsofts økosystem. Enhver markedsplads, der godkender en indsendelse én gang uden løbende overvågning af eksterne dynamiske afhængigheder, er udsat for lignende risici. Den strukturelle svaghed er ensartet på tværs af platforme: godkend én gang, tillid på ubestemt tid.

Strategiske afbødninger for at reducere markedsrisiko

For at imødegå de systemiske svagheder, som AgreeToSteal har afsløret, anbefaler sikkerhedseksperter adskillige modforanstaltninger:

  • Udløs automatiske genvurderinger, når et tilføjelsesprograms refererede URL begynder at vise indhold, der afviger væsentligt fra det, der oprindeligt blev gennemgået.
  • Implementer validering af domæneejerskab for at bekræfte, at infrastrukturen forbliver under udviklerens kontrol, og marker tilføjelsesprogrammer, hvor hostingejerskabet ændres.
  • Etabler mekanismer til at fjerne eller advare brugere om tilføjelsesprogrammer, der ikke er blevet opdateret inden for definerede tidsrammer.
  • Vis installationsantal for at hjælpe med at vurdere eksponering og potentiel påvirkning.

Kontinuerlig overvågning af liveindhold, i stedet for udelukkende at stole på statisk manifestgodkendelse, er afgørende for at afbøde risici i forsyningskæden i moderne udvidelsesøkosystemer.

Et wake-up call for dynamiske afhængigheds-tillidsmodeller

AgreeToSteal-kampagnen illustrerer en fundamental udfordring i moderne softwaredistributionsmodeller. Office-tilføjelsesprogrammer, browserudvidelser og lignende markedspladshostede værktøjer er ofte afhængige af eksternt, dynamisk serveret indhold.

Uden periodisk genscanning og adfærdsovervågning kan betroede applikationer lydløst udvikle sig til angrebsvektorer.

Denne sag tjener som en advarsel til både platformoperatører og virksomhedsforkæmpere: tillid skal løbende valideres, især når der er tale om fjerninfrastruktur og dynamiske afhængigheder.

Trending

Mest sete

Indlæser...