Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Suplemento malicioso do Outlook "Concordar com"

Suplemento malicioso do Outlook "Concordar com"

Por Mezo em Malware, Ameaça Persistente Avançada (APT)
Traduzir Para:

Pesquisadores de cibersegurança descobriram o que se acredita ser o primeiro suplemento malicioso conhecido para o Microsoft Outlook detectado em atividade. A campanha, com o codinome AgreeToSteal, representa um ataque inédito e preocupante à cadeia de suprimentos que abusa da confiança no ecossistema de suplementos do Microsoft Office.

Neste incidente, um agente malicioso sequestrou o domínio associado a um suplemento do Outlook abandonado, porém legítimo. Ao reutilizar a infraestrutura expirada, o atacante implantou uma página de login falsa da Microsoft e coletou com sucesso mais de 4.000 credenciais de usuários.

Essa descoberta sinaliza uma nova fase nas ameaças à cadeia de suprimentos baseadas em marketplaces, desta vez visando o software de produtividade empresarial em seu núcleo.

De ferramenta de produtividade a vetor de phishing

O complemento comprometido, conhecido como AgreeTo, foi originalmente desenvolvido para ajudar os usuários a consolidar vários calendários e compartilhar a disponibilidade por e-mail. Sua última atualização foi em dezembro de 2022.

Ao contrário das campanhas tradicionais de distribuição de malware, este ataque não envolveu a exploração de uma vulnerabilidade no código-fonte. Em vez disso, explorou uma fragilidade estrutural no funcionamento dos suplementos do Office. Os pesquisadores classificam isso como uma variação de ataques observados anteriormente que afetam extensões de navegador, pacotes npm e plugins de IDE, canais de distribuição confiáveis onde o conteúdo aprovado pode ser alterado posteriormente sem gerar suspeitas.

Os suplementos do Office introduzem um risco acrescido devido a vários fatores agravantes:

  • Elas são executadas diretamente no Outlook, onde são gerenciadas comunicações altamente confidenciais.
  • Eles podem solicitar permissões avançadas, incluindo a capacidade de ler e modificar e-mails.
  • Eles são distribuídos através da loja oficial da Microsoft, herdando a confiança implícita do usuário.

O caso AgreeTo destaca uma realidade crucial: o desenvolvedor original não fez nada de malicioso. Um produto legítimo foi criado e posteriormente abandonado. O ataque explorou a lacuna entre o abandono do projeto e a supervisão do mercado.

Aproveitando a arquitetura de suplementos do Office

No cerne do incidente está o design dos suplementos do Office. Os desenvolvedores submetem seus suplementos através do Centro de Parceiros da Microsoft, onde a solução passa por revisão e aprovação. No entanto, a aprovação está amplamente vinculada a um arquivo de manifesto, e não a um pacote de código estático.

Os suplementos do Office diferem fundamentalmente do software convencional. Em vez de distribuir código agrupado, o arquivo de manifesto especifica um URL. Cada vez que o suplemento é aberto no Outlook, o aplicativo recupera o conteúdo em tempo real desse URL e o exibe em um iframe.

Este modelo arquitetônico introduz uma vulnerabilidade crítica: uma vez aprovado e assinado, o complemento continua carregando em tempo real qualquer conteúdo que a URL referenciada forneça. Se o controle dessa URL mudar, devido à expiração do domínio ou ao abandono da infraestrutura, conteúdo malicioso pode ser introduzido sem modificar o manifesto assinado.

No caso do AgreeTo, o manifesto fazia referência a uma URL hospedada pela Vercel (outlook-one.vercel[.]app). Após a implantação do desenvolvedor ser excluída e o projeto efetivamente se tornar um software abandonado por volta de 2023, a URL tornou-se reivindicável. Um invasor assumiu o controle dela enquanto o suplemento permanecia listado na loja da Microsoft.

Até o momento da publicação desta notícia, a infraestrutura permanece ativa.

Execução de phishing e exfiltração de credenciais

Após reivindicar a implantação abandonada, o atacante hospedou um kit de phishing no URL referenciado. O conteúdo malicioso exibia uma página falsa de login da Microsoft, projetada para capturar as credenciais do usuário.

As senhas capturadas foram extraídas usando a API do bot do Telegram. As vítimas foram então redirecionadas para a página de login legítima da Microsoft, reduzindo as suspeitas e aumentando a probabilidade de sucesso no roubo de credenciais.

Embora a atividade observada tenha se concentrado na coleta de credenciais, os pesquisadores alertam que o impacto poderia ter sido significativamente mais grave. O complemento foi configurado com permissões de leitura e gravação de itens, permitindo a leitura e modificação de e-mails de usuários. Um agente malicioso mais agressivo poderia ter implantado JavaScript capaz de exfiltrar silenciosamente o conteúdo das caixas de correio, criando um poderoso vetor de espionagem em ambientes corporativos.

Uma lacuna na supervisão do mercado com implicações mais amplas

A Microsoft analisa os manifestos de suplementos durante o processo de submissão inicial, mas não há validação contínua do conteúdo em tempo real fornecido pelos URLs referenciados após a aprovação. Isso cria uma lacuna estrutural de confiança: o manifesto é assinado uma única vez, mas o conteúdo remoto ao qual ele faz referência pode mudar indefinidamente.

O complemento AgreeTo foi assinado em dezembro de 2022. Embora o conteúdo original fosse legítimo na época da aprovação, o mesmo URL agora hospeda um kit de phishing, e o complemento permanece disponível na loja.

Este problema vai além do ecossistema da Microsoft. Qualquer marketplace que aprove uma submissão uma única vez, sem monitoramento contínuo de dependências dinâmicas remotas, está exposto a riscos semelhantes. A fragilidade estrutural é consistente em todas as plataformas: aprovar uma vez, confiar indefinidamente.

Medidas estratégicas para reduzir o risco de mercado

Para lidar com as fragilidades sistêmicas expostas pelo AgreeToSteal, especialistas em segurança recomendam diversas contramedidas:

  • Acione revisões automáticas quando a URL referenciada por um complemento começar a exibir conteúdo que difira substancialmente do que foi revisado originalmente.
  • Implemente a validação de propriedade do domínio para confirmar que a infraestrutura permanece sob o controle do desenvolvedor e sinalize os complementos nos casos em que a propriedade da hospedagem for alterada.
  • Estabelecer mecanismos para remover da lista ou alertar os usuários sobre complementos que não foram atualizados dentro dos prazos definidos.
  • A quantidade de instalações de exibição ajuda a avaliar a exposição e o impacto potencial.

O monitoramento contínuo do conteúdo em tempo real, em vez de depender exclusivamente da aprovação estática do manifesto, é essencial para mitigar os riscos da cadeia de suprimentos nos ecossistemas de extensão modernos.

Um alerta para os modelos dinâmicos de confiança e dependência.

A campanha AgreeToSteal ilustra um desafio fundamental nos modelos contemporâneos de distribuição de software. Suplementos do Office, extensões de navegador e ferramentas similares hospedadas em marketplaces frequentemente dependem de conteúdo remoto e fornecido dinamicamente.

Sem reavaliações periódicas e monitoramento comportamental, aplicativos confiáveis podem se transformar silenciosamente em vetores de ataque.

Este caso serve de alerta tanto para operadores de plataformas quanto para profissionais de segurança corporativa: a confiança deve ser continuamente validada, especialmente quando infraestrutura remota e dependências dinâmicas estão envolvidas.

Tendendo

Mais visto

Carregando...