Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivý doplnok programu Outlook AgreeTo

Škodlivý doplnok programu Outlook AgreeTo

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti odhalili údajne prvý známy škodlivý doplnok pre Microsoft Outlook, ktorý bol vôbec detekovaný. Kampaň s kódovým označením AgreeToSteal predstavuje nový a znepokojujúci útok na dodávateľský reťazec, ktorý zneužíva dôveru v ekosystém doplnkov pre balík Office od spoločnosti Microsoft.

V tomto incidente útočník uniesol doménu spojenú s opusteným, ale legitímnym doplnkom Outlooku. Znovuvyužitím infraštruktúry s expirovanou platnosťou útočník nasadil falošnú prihlasovaciu stránku spoločnosti Microsoft a úspešne získal viac ako 4 000 používateľských prihlasovacích údajov.

Tento objav signalizuje novú fázu hrozieb v dodávateľskom reťazci založených na trhu, tentoraz zameraných na softvér pre podnikovú produktivitu v jeho jadre.

Od nástroja produktivity k phishingovému vektoru

Napadnutý doplnok s názvom AgreeTo bol pôvodne vyvinutý s cieľom pomôcť používateľom konsolidovať viacero kalendárov a zdieľať dostupnosť prostredníctvom e-mailu. Naposledy bol aktualizovaný v decembri 2022.

Na rozdiel od tradičných kampaní zameraných na distribúciu malvéru tento útok nezahŕňal zneužitie zraniteľnosti v kódovej základni. Namiesto toho využil štrukturálnu slabinu vo fungovaní doplnkov balíka Office. Výskumníci to klasifikujú ako variáciu predtým pozorovaných útokov ovplyvňujúcich rozšírenia prehliadača, balíky npm a pluginy IDE, dôveryhodné distribučné kanály, kde sa schválený obsah môže neskôr zmeniť bez toho, aby to vyvolalo kontrolu.

Doplnky balíka Office predstavujú zvýšené riziko z dôvodu niekoľkých faktorov:

  • Spúšťajú sa priamo v programe Outlook, kde sa spracováva vysoko citlivá komunikácia.
  • Môžu požadovať výkonné povolenia vrátane možnosti čítať a upravovať e-maily.
  • Sú distribuované prostredníctvom oficiálneho obchodu spoločnosti Microsoft a dedia implicitnú dôveru používateľov.

Prípad AgreeTo podčiarkuje kritickú realitu: pôvodný vývojár neurobil nič zlomyseľné. Bol vytvorený legitímny produkt, ktorý bol neskôr opustený. Útok využil medzeru medzi opustením projektu a dohľadom nad trhom.

Využívanie architektúry doplnkov balíka Office

Jadrom incidentu je návrh doplnkov balíka Office. Vývojári odosielajú svoje doplnky prostredníctvom Centra partnerov spoločnosti Microsoft, kde riešenie prechádza kontrolou a schválením. Schválenie je však do značnej miery viazané na súbor manifestu, nie na balík statického kódu.

Doplnky balíka Office sa zásadne líšia od bežného softvéru. Namiesto dodávania pribaleného kódu súbor manifestu určuje URL adresu. Pri každom otvorení doplnku v programe Outlook aplikácia načíta živý obsah z tejto URL adresy a vykreslí ho v rámci prvku iframe.

Tento architektonický model predstavuje kritické riziko: po schválení a podpísaní doplnok naďalej načítava akýkoľvek obsah, ktorý zobrazuje odkazovaná URL adresa v reálnom čase. Ak sa kontrola nad touto URL adresou zmení z dôvodu uplynutia platnosti domény alebo opustenia infraštruktúry, škodlivý obsah môže byť zavedený bez úpravy podpísaného manifestu.

V prípade AgreeTo manifest odkazoval na URL adresu hostovanú na Verceli (outlook-one.vercel[.]app). Po odstránení nasadenia vývojára a po tom, čo sa projekt okolo roku 2023 stal prakticky abandonovaným, sa URL adresa stala nárokovateľnou. Útočník sa nad ňou zmocnil kontroly, zatiaľ čo doplnok zostal uvedený v obchode spoločnosti Microsoft.

V čase podávania správ zostáva infraštruktúra aktívna.

Vykonanie phishingových útokov a únik poverení

Po nárokovaní opusteného nasadenia útočník hostil na uvedenej URL adrese phishingovú súpravu. Škodlivý obsah zobrazoval falošnú prihlasovaciu stránku spoločnosti Microsoft, ktorá bola navrhnutá tak, aby zachytila používateľské prihlasovacie údaje.

Zachytené heslá boli získané pomocou rozhrania Telegram Bot API. Obete boli následne presmerované na legitímnu prihlasovaciu stránku spoločnosti Microsoft, čím sa znížilo podozrenie a zvýšila sa pravdepodobnosť úspešnej krádeže prihlasovacích údajov.

Hoci pozorovaná aktivita sa zameriavala na získavanie poverení, výskumníci varujú, že dopad mohol byť podstatne závažnejší. Doplnok bol nakonfigurovaný s oprávneniami ReadWriteItem, čo umožňovalo čítať a upravovať e-maily používateľov. Agresívnejší útočník mohol nasadiť JavaScript schopný ticho odcudziť obsah poštovej schránky, čím by vytvoril silný špionážny vektor v podnikových prostrediach.

Medzera v dohľade nad trhom so širšími dôsledkami

Spoločnosť Microsoft kontroluje manifesty doplnkov počas počiatočného procesu odoslania, ale po schválení nedochádza k priebežnému overovaniu živého obsahu poskytovaného odkazovanými URL adresami. To vytvára štrukturálnu medzeru v dôvere: manifest je podpísaný raz, no vzdialený obsah, na ktorý odkazuje, sa môže meniť donekonečna.

Doplnok AgreeTo bol podpísaný v decembri 2022. Hoci pôvodný obsah bol v čase schválenia legitímny, tá istá URL adresa teraz slúži ako phishingová súprava a doplnok zostáva v obchode dostupný.

Tento problém presahuje ekosystém spoločnosti Microsoft. Každý trhovisko, ktoré schváli odoslanie len raz bez priebežného monitorovania vzdialených dynamických závislostí, je vystavené podobným rizikám. Štrukturálna slabina je konzistentná na všetkých platformách: schválite raz, dôverujte donekonečna.

Strategické zmierňovacie opatrenia na zníženie rizika na trhu

Na riešenie systémových slabín odhalených vírusom AgreeToSteal bezpečnostní experti odporúčajú niekoľko protiopatrení:

  • Spustiť automatické opätovné kontroly, keď odkazovaná URL adresa doplnku začne zobrazovať obsah, ktorý sa podstatne líši od pôvodne skontrolovaného obsahu.
  • Implementujte overovanie vlastníctva domény, aby ste potvrdili, že infraštruktúra zostáva pod kontrolou vývojára, a označte doplnky v prípadoch, keď sa vlastníctvo hostiteľa zmení.
  • Zaviesť mechanizmy na odstránenie alebo upozornenie používateľov na doplnky, ktoré neboli aktualizované v stanovených časových rámcoch.
  • Zobrazte počet inštalácií, aby ste pomohli posúdiť expozíciu a potenciálny vplyv.

Neustále monitorovanie živého obsahu, namiesto spoliehania sa výlučne na schvaľovanie statického manifestu, je nevyhnutné na zmiernenie rizík dodávateľského reťazca v moderných ekosystémoch rozšírenia.

Budíček pre modely dynamickej závislosti a dôvery

Kampaň AgreeToSteal ilustruje zásadnú výzvu v súčasných modeloch distribúcie softvéru. Doplnky balíka Office, rozšírenia prehliadača a podobné nástroje hostované na trhovisku sa často spoliehajú na vzdialený, dynamicky poskytovaný obsah.

Bez pravidelného opätovného skenovania a monitorovania správania sa dôveryhodné aplikácie môžu nenápadne vyvinúť na vektory útoku.

Tento prípad slúži ako varovanie pre prevádzkovateľov platforiem aj pre obhajcov podnikov: dôvera sa musí neustále overovať, najmä ak ide o vzdialenú infraštruktúru a dynamické závislosti.

Trendy

Červ TeamPCP

Pokročilá perzistentná hrozba (APT), Malvér, Červy
Výskumníci v oblasti kybernetickej bezpečnosti odhalili rozsiahlu kampaň riadenú červami, ktorá systematicky útočí na cloudové prostredia s cieľom vytvoriť škodlivú infraštruktúru pre následné zneužitie. Aktivita spojená s touto operáciou bola pozorovaná okolo 25. decembra 2025 a odhaľuje koordinované úsilie o zneužitie exponovaných služieb a zraniteľností v moderných cloudových systémoch....

Najviac videné

Načítava...