Исследователи в области кибербезопасности впервые зафиксировали реальное использование вредоносной надстройки для почтового клиента Microsoft Outlook. Эта атака стала необычным примером компрометации цепочки поставок, когда злоумышленник воспользовался заброшенным проектом, чтобы обманным путём украсть данные пользователей.
Что произошло
Эксперты компании Koi Security обнаружили, что неизвестный злоумышленник захватил домен, ранее принадлежащий легитимному расширению для Outlook под названием AgreeTo. В результате посетителям показывался фальшивый экран входа в Microsoft, куда они вводили свои логины и пароли без ведома о том, что отправляют их злоумышленникам. По оценкам исследователей, были похищены более 4 000 учетных записей Microsoft.
Исследователи дали этому инциденту кодовое имя AgreeToSteal.
Чем была эта надстройка
AgreeTo позиционировалась как полезный инструмент для Outlook, который позволял соединять несколько календарей и делиться доступностью через электронные письма. Однако разработчик перестал обновлять её ещё в декабре 2022 года, и надстройка фактически стала заброшенным проектом.
Злоумышленник воспользовался этим, зарегистрировав освободившийся домен и разместив на нём фишинговую страницу, которая выглядела как настоящий экран Microsoft для входа в систему. Введенные данные затем отправлялись на сервер злоумышленника через Telegram-бота, а пользователя перенаправляли на настоящий сайт входа, что делало атаку максимально незаметной.
Почему это опасно
По словам Идана Дардикмана, сооснователя и технического директора Koi Security, этот случай представляет собой расширение так называемых атак через цепочку поставок программного обеспечения. Ранее подобные методы применялись, например, к браузерным расширениям и пакетам npm.
Особенность Office-надстроек в том, что они работают внутри Outlook, где пользователи обрабатывают свои самые важные сообщения, могут запрашивать доступ к чтению и модификации писем и распространяются через официальный каталог Microsoft Store, а это автоматически вызывает у пользователей чувство доверия.
Как работает уязвимость
Office-надстройки не поставляются как готовый код, а содержат манифест с указанием URL, откуда загружается содержимое при каждом открытии надстройки. Если домен в этом URL неожиданно меняет владельца, злоумышленник получает полный контроль над тем, что выполняется внутри Outlook и делает это без дополнительной проверки со стороны Microsoft.
В случае с AgreeTo именно такая ситуация и произошла: хотя надстройка официально всё ещё была в магазине, её задний сервер указывал на адрес, который теперь обслуживался злоумышленником.
Что можно сделать
Специалисты Koi предлагают несколько мер, которые могли бы повысить безопасность подобных надстроек:
периодически перепроверять содержимое по URL, указанным в манифестах, чтобы обнаруживать неожиданные изменения;
проверять действительное владение доменами разработчиков;
автоматически исключать из магазина давно не обновлявшиеся надстройки;
показывать пользователям количество установок надстроек, чтобы оценивать их популярность и потенциальное влияние.
Источник: HN