Badacze odkryli złośliwy dodatek do programu Microsoft Outlook, który umożliwił kradzież 4000 danych uwierzytelniających do kont Microsoft, numerów kart kredytowych oraz odpowiedzi na pytania zabezpieczające konta bankowe.
Jak to możliwe, że sklep Microsoft Office Add-in Store przestał oferować dodatek, który po cichu ładował zestaw phishingowy do paska bocznego programu Outlook?
Programista wprowadził na rynek dodatek o nazwie AgreeTo, otwarte narzędzie do planowania spotkań z Chrome . Było to popularne narzędzie, ale w pewnym momencie zostało porzucone przez programistę, adres URL serwera na Vercel wygasł, a haker przejął ten adres.
Wymaga to pewnego wyjaśnienia. Dodatki do pakietu Office są zasadniczo manifestami XML, które nakazują programowi Outlook załadowanie określonego adresu URL w ramce iframe. Firma Microsoft sprawdza i podpisuje manifest jednorazowo, ale nie monitoruje na bieżąco zawartości tego adresu URL.
Kiedy więc subdomena outlook-one.vercel.app stała się dostępna do przejęcia, cyberprzestępca skorzystał z okazji, aby ją przejąć i nadużyć potężnych uprawnień ReadWriteItem, o które wnioskowano i które zatwierdzono w 2022 r. Uprawnienia te oznaczały, że dodatek mógł odczytywać i modyfikować wiadomości e-mail użytkownika po załadowaniu. Uprawnienia te były odpowiednie dla programu do planowania spotkań, ale służyły przestępcy do innych celów.
Chociaż Google usunęło nieaktywne Chrome w lutym 2025 r., dodatek do programu Outlook pozostał w sklepie Microsoft Office Store, nadal kierując do adresu URL Vercel, który nie należał już do pierwotnego twórcy.
Atakujący zarejestrował tę subdomenę Vercel i wdrożył prosty, czterostronicowy zestaw phishingowy składający się z fałszywego loginu Microsoft, zbierania haseł, eksfiltracji danych za pomocą Telegramu oraz przekierowania do prawdziwej strony login.microsoftonline.com.
To, co sprawiło, że to zadziałało, było proste i skuteczne. Kiedy użytkownicy otwierali dodatek, widzieli coś, co wyglądało jak normalne logowanie do Microsoftu w Outlooku. Wpisywali dane logowania, które były wysyłane przez funkcję JavaScript do bota Telegram atakującego wraz z danymi IP, a następnie były przekierowywane do prawdziwego logowania Microsoftu, więc nic nie wyglądało podejrzanie.
Badacze uzyskali dostęp do słabo zabezpieczonego kanału eksfiltracji opartego na Telegramie, należącego do atakującego, i odzyskali ponad 4000 zestawów skradzionych danych logowania do kont Microsoft, a także dane dotyczące płatności i bankowości, co wskazuje, że kampania była aktywna i stanowiła część większej operacji phishingowej obejmującej wiele marek.
„Ten sam atakujący obsługuje co najmniej 12 różnych zestawów phishingowych, z których każdy podszywa się pod inną markę – kanadyjskich dostawców usług internetowych, banków, dostawców poczty internetowej. Skradzione dane obejmowały nie tylko dane logowania do poczty elektronicznej, ale także numery kart kredytowych, kody CVV, kody PIN i odpowiedzi na pytania zabezpieczające bankowości internetowej wykorzystywane do przechwytywania płatności Interac e-Transfer. Jest to profesjonalna operacja phishingowa obejmująca wiele marek. Dodatek do programu Outlook był tylko jednym z kanałów dystrybucji”.
Co robić
Jeśli korzystasz lub kiedykolwiek korzystałeś z dodatku AgreeTo po maju 2023 r.:
- Upewnij się, że został usunięty. Jeśli nie, odinstaluj dodatek.
- Zmień hasło do konta Microsoft.
- Jeśli to hasło (lub jego podobne wersje) było używane w innych serwisach (e-mail, bankowość, SaaS, media społecznościowe), zmień je również i spraw, aby każde z nich było unikalne.
- Przejrzyj ostatnie logowania i działania związane z bezpieczeństwem na koncie Microsoft, szukając logowań z nieznanych lokalizacji lub urządzeń albo o nietypowych porach.
- Sprawdź inne poufne informacje, które mogłeś udostępnić za pośrednictwem poczty elektronicznej.
- Sprawdź swoją skrzynkę pocztową pod kątem oznak nadużyć: wiadomości, których nie wysłałeś, reguł automatycznego przekazywania, których nie utworzyłeś, lub wiadomości e-mail dotyczących resetowania hasła do innych usług, o które nie prosiłeś.
- Przez co najmniej kilka najbliższych miesięcy uważnie sprawdzaj wyciągi z kart płatniczych, zwracając szczególną uwagę na niewielkie opłaty „testowe” oraz nieoczekiwane przelewy elektroniczne lub transakcje bez fizycznej obecności karty, a wszelkie podejrzane operacje natychmiast zgłaszaj do sporu.
Nie tylko informujemy o zagrożeniach — pomagamy chronić całą Twoją tożsamość cyfrową.
Ryzyko związane z cyberbezpieczeństwem nie powinno nigdy wykraczać poza nagłówki gazet. Chroń swoje dane osobowe i dane swojej rodziny, korzystając z ochrony tożsamości.
