Notícias, Privacy

Complemento do Outlook se torna malicioso e rouba 4.000 credenciais e dados de pagamento

por Pieter Arntz | 12 de fevereiro de 2026
Logótipo do Outlook

Os investigadores descobriram um complemento malicioso do Microsoft Outlook que conseguiu roubar 4.000 credenciais de contas da Microsoft, números de cartões de crédito e respostas de segurança bancária. 

Como é possível que a Loja de Complementos do Microsoft Office tenha deixado de listar um complemento que carregava silenciosamente um kit de phishing na barra lateral do Outlook?

Um programador lançou um complemento chamado AgreeTo, uma ferramenta de código aberto para agendamento de reuniões com uma Chrome . Era uma ferramenta popular, mas, em determinado momento, foi abandonada pelo seu programador, a URL do seu backend no Vercel expirou e, posteriormente, um invasor reivindicou essa mesma URL.

Isso requer alguma explicação. Os suplementos do Office são essencialmente manifestos XML que instruem o Outlook a carregar uma URL específica num iframe. A Microsoft analisa e assina o manifesto uma vez, mas não monitoriza continuamente o que essa URL serve posteriormente.

Assim, quando o subdomínio outlook-one.vercel.app ficou disponível para reivindicação, um cibercriminoso aproveitou a oportunidade para obtê-lo e abusar das poderosas permissões ReadWriteItem solicitadas e aprovadas em 2022. Essas permissões significavam que o complemento poderia ler e modificar o e-mail de um utilizador quando carregado. As permissões eram adequadas para um agendador de reuniões, mas serviram a um propósito diferente para o criminoso.

Embora o Google tenha removido a Chrome inativa em fevereiro de 2025, o complemento do Outlook permaneceu listado na Loja do Microsoft Office, ainda apontando para uma URL da Vercel que não pertencia mais ao desenvolvedor original.

Um invasor registou esse subdomínio Vercel e implementou um kit de phishing simples de quatro páginas que consistia num login falso da Microsoft, recolha de palavras-passe, exfiltração de dados baseada no Telegram e um redirecionamento para o login.microsoftonline.com real.

O que fez com que isso funcionasse foi simples e eficaz. Quando os utilizadores abriam o complemento, viam o que parecia ser um login normal da Microsoft dentro do Outlook. Eles inseriam as credenciais, que eram enviadas por meio de uma função JavaScript para o bot do Telegram do invasor, juntamente com os dados de IP, e depois eram redirecionados para o login real da Microsoft, de modo que nada parecia suspeito.

Os investigadores conseguiram aceder ao canal de exfiltração mal protegido do atacante, baseado no Telegram, e recuperaram mais de 4.000 conjuntos de credenciais de contas Microsoft roubadas, além de dados bancários e de pagamento, indicando que a campanha estava ativa e fazia parte de uma operação de phishing multimarcas mais ampla.

“O mesmo invasor opera pelo menos 12 kits de phishing distintos, cada um deles se passando por uma marca diferente – ISPs canadenses, bancos, provedores de webmail. Os dados roubados incluíam não apenas credenciais de e-mail, mas também números de cartão de crédito, CVVs, PINs e respostas de segurança bancária usadas para interceptar pagamentos Interac e-Transfer. Trata-se de uma operação profissional de phishing multimarcas. O complemento do Outlook era apenas um dos seus canais de distribuição.”

O que fazer

Se utiliza ou já utilizou o complemento AgreeTo após maio de 2023:

  • Certifique-se de que foi removido. Caso contrário, desinstale o suplemento.
  • Altere a palavra-passe da sua conta Microsoft.
  • Se essa palavra-passe (ou variantes semelhantes) foi reutilizada em outros serviços (e-mail, banco, SaaS, redes sociais), altere-as também e torne cada uma delas única.
  • Analise os acessos recentes e as atividades de segurança na sua conta Microsoft, procurando por acessos de locais ou dispositivos desconhecidos ou em horários incomuns.
  • Revise outras informações confidenciais que possa ter partilhado por e-mail.
  • Verifique a sua caixa de correio em busca de sinais de abuso: mensagens que não enviou, regras de reencaminhamento automático que não criou ou e-mails de redefinição de palavra-passe para outros serviços que não solicitou.
  • Acompanhe atentamente os extratos de pagamento durante pelo menos os próximos meses, especialmente pequenas cobranças «teste» e transações inesperadas por transferência eletrónica ou cartão não presente, e conteste imediatamente qualquer coisa suspeita.

Não nos limitamos a relatar ameaças — ajudamos a proteger toda a sua identidade digital.

Os riscos de cibersegurança nunca devem ir além das manchetes. Proteja as suas informações pessoais e as da sua família usando proteção de identidade.

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

IA
Uma mão estende-se para apanhar um asterisco de uma palavra-passe escrita.

As palavras-passe geradas por IA são um risco à segurança

fevereiro 19, 2026

As palavras-passe geradas por IA são «altamente previsíveis» e não são verdadeiramente aleatórias, tornando-as mais fáceis de serem decifradas por cibercriminosos.

Notícias
Tenha logo

A fabricante de produtos íntimos Tenga divulgou dados de clientes

fevereiro 19, 2026

Um ataque de phishing a um funcionário da Tenga pode ter exposto dados de clientes dos EUA. Os clientes devem estar atentos a tentativas de phishing com tema de sextorsão.

Violações de dados
Logótipo da Betterment

A violação de dados da Betterment pode ser pior do que pensávamos

fevereiro 18, 2026

Esta violação parece agora muito mais grave. Os dados que vazaram incluem informações pessoais e financeiras detalhadas que os phishers poderiam usar.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes