I ricercatori hanno scoperto un componente aggiuntivo dannoso di Microsoft Outlook in grado di rubare 4.000 credenziali di account Microsoft, numeri di carte di credito e risposte di sicurezza bancarie.
Com'è possibile che il Microsoft Office Add-in Store abbia smesso di elencare un componente aggiuntivo che caricava silenziosamente un kit di phishing nella barra laterale di Outlook?
Uno sviluppatore ha lanciato un componente aggiuntivo chiamato AgreeTo, uno strumento open source per la pianificazione delle riunioni con Chrome . Era uno strumento molto popolare, ma a un certo punto è stato abbandonato dal suo sviluppatore, il suo URL backend su Vercel è scaduto e un hacker ha successivamente rivendicato lo stesso URL.
Ciò richiede alcune spiegazioni. I componenti aggiuntivi di Office sono essenzialmente manifesti XML che indicano a Outlook di caricare un URL specifico in un iframe. Microsoft esamina e firma il manifesto una sola volta, ma non monitora continuamente ciò che quell'URL serve in seguito.
Quindi, quando il sottodominio outlook-one.vercel.app è diventato disponibile, un criminale informatico ha colto al volo l'occasione per appropriarsene e abusare delle potenti autorizzazioni ReadWriteItem richieste e approvate nel 2022. Queste autorizzazioni consentivano al componente aggiuntivo di leggere e modificare le e-mail di un utente una volta caricato. Le autorizzazioni erano appropriate per un programma di pianificazione delle riunioni, ma servivano a uno scopo diverso per il criminale.
Sebbene Google abbia rimosso Chrome non più funzionante nel febbraio 2025, il componente aggiuntivo di Outlook è rimasto elencato nell'Office Store di Microsoft, continuando a rimandare a un URL Vercel che non apparteneva più allo sviluppatore originale.
Un hacker ha registrato quel sottodominio Vercel e ha implementato un semplice kit di phishing di quattro pagine composto da un falso login Microsoft, raccolta di password, esfiltrazione di dati basata su Telegram e un reindirizzamento al vero login.microsoftonline.com.
Ciò che ha reso possibile tutto questo è stato semplice ed efficace. Quando gli utenti aprivano il componente aggiuntivo, vedevano ciò che sembrava un normale accesso Microsoft all'interno di Outlook. Inserivano le credenziali, che venivano inviate tramite una funzione JavaScript al bot Telegram dell'autore dell'attacco insieme ai dati IP, quindi venivano reindirizzati al vero accesso Microsoft, quindi nulla sembrava sospetto.
I ricercatori sono riusciti ad accedere al canale di esfiltrazione basato su Telegram dell'autore dell'attacco, che era scarsamente protetto, e hanno recuperato oltre 4.000 set di credenziali di account Microsoft rubate, oltre a dati bancari e di pagamento, indicando che la campagna era attiva e faceva parte di un'operazione di phishing multimarca più ampia.
"Lo stesso autore degli attacchi gestisce almeno 12 kit di phishing distinti, ciascuno dei quali impersona un marchio diverso: ISP canadesi, banche, provider di webmail. I dati rubati includevano non solo credenziali e-mail, ma anche numeri di carte di credito, CVV, PIN e risposte di sicurezza bancarie utilizzate per intercettare i pagamenti Interac e-Transfer. Si tratta di un'operazione di phishing professionale e multimarca. Il componente aggiuntivo di Outlook era solo uno dei suoi canali di distribuzione".
Cosa fare
Se utilizzi o hai mai utilizzato il componente aggiuntivo AgreeTo dopo maggio 2023:
- Assicurati che sia stato rimosso. In caso contrario, disinstalla il componente aggiuntivo.
- Cambia la password del tuo account Microsoft.
- Se quella password (o varianti simili) è stata riutilizzata su altri servizi (e-mail, servizi bancari, SaaS, social), modificala anche lì e rendila unica per ciascuno di essi.
- Controlla gli accessi recenti e le attività di sicurezza sul tuo account Microsoft, cercando accessi da luoghi o dispositivi sconosciuti o in orari insoliti.
- Controlla altre informazioni sensibili che potresti aver condiviso tramite e-mail.
- Controlla la tua casella di posta elettronica alla ricerca di segni di abuso: messaggi che non hai inviato, regole di inoltro automatico che non hai creato o e-mail di reimpostazione della password per altri servizi che non hai richiesto.
- Controlla attentamente gli estratti conto almeno per i prossimi mesi, in particolare i piccoli addebiti "di prova" e le transazioni inattese tramite bonifico elettronico o carta non presente, e contesta immediatamente qualsiasi operazione sospetta.
Non ci limitiamo a segnalare le minacce: contribuiamo a proteggere la tua identità digitale nella sua interezza.
I rischi legati alla sicurezza informatica non dovrebbero mai andare oltre i titoli dei giornali. Proteggi le tue informazioni personali e quelle della tua famiglia utilizzando la protezione dell'identità.
