Исследователи обнаружили вредоносное дополнение для Microsoft Outlook, которое смогло похитить 4000 учетных данных учетных записей Microsoft, номера кредитных карт и ответы на секретные вопросы для банковской безопасности.
Как возможно, что магазин надстроек Microsoft Office Add-in Store прекратил продажу надстройки, которая незаметно загружала фишинговый набор в боковую панель Outlook?
Разработчик запустил надстройку под названием AgreeTo, инструмент с открытым исходным кодом для планирования встреч с Chrome . Это был популярный инструмент, но в какой-то момент разработчик отказался от него, срок действия URL-адреса бэкэнда на Vercel истек, и впоследствии злоумышленник завладел этим URL-адресом.
Это требует некоторого пояснения. Дополнения Office — это, по сути, XML-манифесты, которые указывают Outlook загрузить определенный URL-адрес в iframe. Microsoft проверяет и подписывает манифест один раз, но не отслеживает, что этот URL-адрес будет предоставлять в дальнейшем.
Итак, когда субдомен outlook-one.vercel.app стал доступен для регистрации, киберпреступник не упустил возможность его захватить и злоупотребить мощными разрешениями ReadWriteItem, запрошенными и одобренными в 2022 году. Эти разрешения означали, что надстройка могла читать и изменять электронную почту пользователя при загрузке. Разрешения были уместны для планировщика встреч, но преступнику они служили другой цели.
Хотя Google удалил неработающее Chrome в феврале 2025 года, надстройка Outlook осталась в списке Microsoft Office Store, по-прежнему указывая на URL-адрес Vercel, который больше не принадлежал первоначальному разработчику.
Злоумышленник зарегистрировал этот субдомен Vercel и разместил на нем простой четырехстраничный фишинговый набор, состоящий из поддельного входа в систему Microsoft, сбора паролей, экстракции данных через Telegram и перенаправления на настоящий сайт login.microsoftonline.com.
Этот метод был простым и эффективным. Когда пользователи открывали надстройку, они видели окно, похожее на обычное окно входа в Microsoft в Outlook. Они вводили свои учетные данные, которые с помощью функции JavaScript отправлялись боту Telegram злоумышленника вместе с IP-данными, а затем перенаправлялись на настоящую страницу входа в Microsoft, поэтому ничего не вызывало подозрений.
Исследователи получили доступ к плохо защищенному каналу экстракции данных злоумышленника, основанному на Telegram, и восстановили более 4000 наборов украденных учетных данных учетных записей Microsoft, а также платежные и банковские данные, что указывает на то, что кампания была активной и являлась частью более крупной фишинговой операции, затрагивающей несколько брендов.
«Один и тот же злоумышленник использует как минимум 12 различных фишинговых наборов, каждый из которых имитирует другой бренд — канадских интернет-провайдеров, банки, поставщиков веб-почты. Похищенные данные включали не только учетные данные электронной почты, но и номера кредитных карт, CVV-коды, PIN-коды и секретные ответы, используемые для перехвата платежей Interac e-Transfer. Это профессиональная фишинговая операция, затрагивающая несколько брендов. Надстройка Outlook была лишь одним из каналов ее распространения».
Что делать
Если вы используете или когда-либо использовали надстройку AgreeTo после мая 2023 года:
- Убедитесь, что он удален. Если нет, удалите надстройку.
- Измените пароль для своей учетной записи Microsoft.
- Если этот пароль (или его близкие варианты) использовался в других сервисах (электронная почта, банковские услуги, SaaS, социальные сети), измените их также и сделайте каждый из них уникальным.
- Просмотрите недавние входы в систему и действия по обеспечению безопасности в своей учетной записи Microsoft, обращая внимание на входы из неизвестных мест или с неизвестных устройств, а также в необычное время.
- Просмотрите другую конфиденциальную информацию, которую вы могли передать по электронной почте.
- Проверьте свой почтовый ящик на наличие признаков злоупотребления: сообщения, которые вы не отправляли, правила автоматической пересылки, которые вы не создавали, или письма с запросом на сброс пароля для других сервисов, которые вы не запрашивали.
- В течение как минимум нескольких следующих месяцев внимательно следите за выписками по платежам, особенно за небольшими «тестовыми» списаниями и неожиданными электронными переводами или транзакциями без использования карты, и немедленно оспаривайте все подозрительные операции.
Мы не просто сообщаем об угрозах — мы помогаем защитить всю вашу цифровую идентичность.
Риски кибербезопасности не должны выходить за рамки заголовков новостей. Защитите личную информацию о себе и своей семье с помощью средств защиты личности.
