Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Ваш календарь хочет украсть все пароли. Рассказываем о самом ленивом, но эффективном взломе этого года

Microsoft Outlook Koi Security AgreeTo Идан Дардиκман Vercel фишинг
Ваш календарь хочет украсть все пароли. Рассказываем о самом ленивом, но эффективном взломе этого года
Microsoft Outlook Koi Security AgreeTo Идан Дардиκман Vercel фишинг

Технологические гиганты долгое время игнорировали эту элементарную лазейку.

image

В экосистеме Microsoft Office обнаружился непривычный для массовых атак вектор: злоумышленники смогли использовать надстройку для Outlook как канал распространения фишинга, не взламывая сам магазин и не подменяя установочный пакет.

Компания Koi Security сообщила о первой зафиксированной в реальной среде вредоносной надстройке Microsoft Outlook. Речь идёт о дополнении AgreeTo, которое позиционировалось как инструмент для объединения календарей и отправки доступности по почте. Последнее обновление надстройки датируется декабрём 2022 года, а затем проект фактически был заброшен.

Атака строилась на особенностях работы надстроек Office. В манифесте дополнения указывается URL, с которого интерфейс и логика подгружаются в реальном времени при открытии внутри Outlook. Если такой домен или размещение перестаёт контролироваться разработчиком, появляется риск перехвата. По данным Koi Security, манифест AgreeTo указывал на адрес на Vercel outlook-one.vercel.app, который стал доступен для перехвата домена после удаления исходного развёртывания примерно в 2023 году. Инфраструктура, по оценке компании, оставалась доступной на момент обнаружения.

Получив контроль над адресом, атакующий разместил там фишинговую страницу, имитирующую вход в Microsoft. Введённые данные перехватывались и выводились через Telegram Bot API, после чего жертва перенаправлялась на настоящую страницу авторизации, чтобы снизить подозрения. В результате, как утверждает Koi Security, было похищено более 4000 учётных записей Microsoft.

Сооснователь и технический директор Koi Security Идан Дардикман отмечает, что проблема напоминает сценарии с расширениями браузеров, пакетами npm и плагинами для сред разработки: доверенный канал распространения сохраняется, а содержимое может измениться уже после одобрения. Дополнительный риск для надстроек Office связан с тем, что они работают рядом с почтой и могут запрашивать широкие права. В случае AgreeTo заявлены разрешения ReadWriteItem, позволяющие читать и изменять письма, поэтому при другом развитии событий злоумышленники могли бы попытаться скрытно собирать содержимое почтового ящика.

Koi Security предлагает усилить контроль после публикации: повторную проверку при заметной смене содержимого по URL, подтверждение владения доменом разработчиком, маркировку или снятие с публикации давно не обновлявшихся надстроек, а также отображение числа установок для оценки масштаба. Компания также указывает, что похожая уязвимость модели «одобрили один раз и доверяем всегда» характерна не только для Microsoft Marketplace и Office Store, а в целом для площадок, где код подгружается из удалённых источников.