Des chercheurs ont découvert un complément malveillant pour Microsoft Outlook capable de voler 4 000 identifiants de comptes Microsoft, numéros de carte de crédit et réponses aux questions de sécurité bancaire.
Comment est-il possible que le Microsoft Office Add-in Store ait cessé de proposer un complément qui chargeait silencieusement un kit de phishing dans la barre latérale d'Outlook ?
Un développeur a lancé un module complémentaire appelé AgreeTo, un outil open source de planification de réunions avec une Chrome . Cet outil était très populaire, mais à un moment donné, il a été abandonné par son développeur, son URL backend sur Vercel a expiré, et un pirate informatique a ensuite revendiqué cette même URL.
Cela nécessite quelques explications. Les compléments Office sont essentiellement des manifestes XML qui indiquent à Outlook de charger une URL spécifique dans un iframe. Microsoft examine et signe le manifeste une seule fois, mais ne surveille pas en permanence ce que cette URL sert par la suite.
Ainsi, lorsque le sous-domaine outlook-one.vercel.app est devenu libre d'accès, un cybercriminel a sauté sur l'occasion pour s'en emparer et abuser des puissantes autorisations ReadWriteItem demandées et approuvées en 2022. Ces autorisations signifiaient que le complément pouvait lire et modifier les e-mails d'un utilisateur lorsqu'il était chargé. Ces autorisations étaient appropriées pour un planificateur de réunions, mais elles servaient un objectif différent pour le criminel.
Alors que Google a supprimé Chrome inactive en février 2025, le complément Outlook est resté répertorié dans le Microsoft Office Store, renvoyant toujours vers une URL Vercel qui n'appartenait plus au développeur d'origine.
Un pirate a enregistré ce sous-domaine Vercel et déployé un kit de phishing simple de quatre pages comprenant une fausse page de connexion Microsoft, une collecte de mots de passe, une exfiltration de données via Telegram et une redirection vers le véritable site login.microsoftonline.com.
Le fonctionnement était simple et efficace. Lorsque les utilisateurs ouvraient le complément, ils voyaient ce qui ressemblait à une connexion Microsoft normale dans Outlook. Ils saisissaient leurs identifiants, qui étaient envoyés via une fonction JavaScript au bot Telegram de l'attaquant avec les données IP, puis redirigés vers la véritable page de connexion Microsoft, de sorte que rien ne semblait suspect.
Les chercheurs ont pu accéder au canal d'exfiltration mal sécurisé de l'attaquant, basé sur Telegram, et ont récupéré plus de 4 000 ensembles d'identifiants de comptes Microsoft volés, ainsi que des données bancaires et de paiement, ce qui indique que la campagne était active et s'inscrivait dans le cadre d'une opération de phishing multi-marques plus vaste.
« Le même pirate exploite au moins 12 kits de phishing distincts, chacun usurpant l'identité d'une marque différente : FAI canadiens, banques, fournisseurs de messagerie Web. Les données volées comprenaient non seulement des identifiants de messagerie électronique, mais aussi des numéros de carte de crédit, des codes CVV, des codes PIN et des réponses de sécurité bancaire utilisées pour intercepter les paiements Interac e-Transfer. Il s'agit d'une opération de phishing professionnelle et multimarque. Le complément Outlook n'était qu'un de ses canaux de distribution. »
Que faire
Si vous utilisez ou avez déjà utilisé le complément AgreeTo après mai 2023 :
- Assurez-vous qu'il a bien été supprimé. Si ce n'est pas le cas, désinstallez le complément.
- Modifiez le mot de passe de votre compte Microsoft.
- Si ce mot de passe (ou des variantes proches) a été réutilisé sur d'autres services (messagerie électronique, services bancaires, SaaS, réseaux sociaux), modifiez-les également et rendez chacun d'entre eux unique.
- Consultez les connexions récentes et l'activité de sécurité sur votre compte Microsoft, en recherchant les connexions provenant d'emplacements ou d'appareils inconnus, ou à des heures inhabituelles.
- Vérifiez les autres informations sensibles que vous avez pu partager par e-mail.
- Vérifiez votre boîte mail pour détecter tout signe d'utilisation abusive : messages que vous n'avez pas envoyés, règles de transfert automatique que vous n'avez pas créées ou e-mails de réinitialisation de mot de passe pour d'autres services que vous n'avez pas demandés.
- Surveillez attentivement vos relevés de paiement pendant au moins les prochains mois, en particulier les petits frais « tests » et les virements électroniques ou transactions sans présentation de la carte inattendus, et contestez immédiatement tout élément suspect.
Nous ne nous contentons pas de signaler les menaces, nous contribuons à protéger l'ensemble de votre identité numérique.
Les risques liés à la cybersécurité ne devraient jamais dépasser le stade des gros titres. Protégez vos informations personnelles et celles de votre famille en utilisant une protection d'identité.
