Pesquisadores descobriram um complemento malicioso do Microsoft Outlook capaz de roubar 4.000 credenciais de contas da Microsoft, números de cartões de crédito e respostas de segurança bancária.
Como é possível que a Loja de Complementos do Microsoft Office tenha deixado de listar um complemento que carregava silenciosamente um kit de phishing na barra lateral do Outlook?
Um desenvolvedor lançou um complemento chamado AgreeTo, uma ferramenta de código aberto para agendamento de reuniões com uma Chrome . Era uma ferramenta popular, mas, em determinado momento, foi abandonada pelo desenvolvedor, sua URL de back-end no Vercel expirou e, posteriormente, um invasor reivindicou essa mesma URL.
Isso requer alguma explicação. Os complementos do Office são essencialmente manifestos XML que instruem o Outlook a carregar uma URL específica em um iframe. A Microsoft analisa e assina o manifesto uma vez, mas não monitora continuamente o que essa URL serve posteriormente.
Assim, quando o subdomínio outlook-one.vercel.app ficou disponível para reivindicação, um cibercriminoso aproveitou a oportunidade para obtê-lo e abusar das poderosas permissões ReadWriteItem solicitadas e aprovadas em 2022. Essas permissões significavam que o complemento poderia ler e modificar o e-mail de um usuário quando carregado. As permissões eram apropriadas para um agendador de reuniões, mas serviram a um propósito diferente para o criminoso.
Embora o Google tenha removido a Chrome inativa em fevereiro de 2025, o complemento do Outlook permaneceu listado na Loja do Microsoft Office, ainda apontando para uma URL da Vercel que não pertencia mais ao desenvolvedor original.
Um invasor registrou esse subdomínio da Vercel e implantou um kit simples de phishing de quatro páginas, composto por um login falso da Microsoft, coleta de senhas, exfiltração de dados baseada no Telegram e um redirecionamento para o login.microsoftonline.com real.
O que fez isso funcionar foi simples e eficaz. Quando os usuários abriam o complemento, viam o que parecia ser um login normal da Microsoft dentro do Outlook. Eles inseriam as credenciais, que eram enviadas por meio de uma função JavaScript para o bot do Telegram do invasor, juntamente com os dados de IP, e então eram redirecionados para o login real da Microsoft, de modo que nada parecia suspeito.
Os pesquisadores conseguiram acessar o canal de exfiltração mal protegido do invasor, baseado no Telegram, e recuperaram mais de 4.000 conjuntos de credenciais de contas Microsoft roubadas, além de dados bancários e de pagamento, indicando que a campanha estava ativa e fazia parte de uma operação de phishing multimarcas mais ampla.
“O mesmo invasor opera pelo menos 12 kits de phishing distintos, cada um deles se passando por uma marca diferente – provedores de internet canadenses, bancos, provedores de webmail. Os dados roubados incluíam não apenas credenciais de e-mail, mas também números de cartão de crédito, CVVs, PINs e respostas de segurança bancária usadas para interceptar pagamentos Interac e-Transfer. Trata-se de uma operação profissional de phishing envolvendo várias marcas. O complemento do Outlook era apenas um de seus canais de distribuição.”
O que fazer
Se você usa ou já usou o complemento AgreeTo após maio de 2023:
- Certifique-se de que ele foi removido. Caso contrário, desinstale o complemento.
- Altere a senha da sua conta Microsoft.
- Se essa senha (ou variantes semelhantes) foi reutilizada em outros serviços (e-mail, banco, SaaS, redes sociais), altere-as também e torne cada uma delas única.
- Analise os acessos recentes e as atividades de segurança na sua conta da Microsoft, procurando por acessos de locais ou dispositivos desconhecidos ou em horários incomuns.
- Revise outras informações confidenciais que você possa ter compartilhado por e-mail.
- Verifique sua caixa de correio em busca de sinais de abuso: mensagens que você não enviou, regras de encaminhamento automático que você não criou ou e-mails de redefinição de senha para outros serviços que você não solicitou.
- Fique atento aos extratos de pagamento pelo menos nos próximos meses, especialmente pequenas cobranças “teste” e transações inesperadas por transferência eletrônica ou cartão não presente, e conteste imediatamente qualquer coisa suspeita.
Não nos limitamos a relatar ameaças — ajudamos a proteger toda a sua identidade digital.
Os riscos de segurança cibernética nunca devem ir além das manchetes. Proteja suas informações pessoais e as de sua família usando proteção de identidade.
