Microsoft - соучастник фишинга: официальная надстройка Outlook годами крала пароли тысяч пользователей
NewsMakerЗаброшенный AgreeTo ожил и стал пожирать учетные данные как бешеный.
Исследователи зафиксировали первый известный случай , когда вредоносное дополнение для Microsoft Outlook распространялось через официальный каталог Office Add-in Store. Речь идет о надстройке AgreeTo для планирования встреч. К атаке он отношения не имеет, но после того как проект забросили, злоумышленник перехватил адрес, на который ссылалась надстройка, и превратил ее в фишинговый инструмент прямо внутри интерфейса Outlook.
AgreeTo появился в 2022 году как сервис для подбора удобного времени встреч. У него было расширение для Chrome и надстройка для Outlook. Пользователи активно ставили браузерную версию, у нее держался высокий рейтинг и положительные отзывы. Проект выглядел живым, с открытым репозиторием, кодом на TypeScript, интеграцией с Microsoft Graph API, Google Calendar и платежами через Stripe. Затем развитие остановилось. Последнее обновление Chrome-расширения вышло в мае 2023 года. Домен agreeto.app перестал продлеваться и отключился. В отзывах люди писали, что сервис больше не открывается. В итоге версию для Chrome удалили из магазина в феврале 2025 года. Надстройка Outlook при этом осталась доступна в каталоге Microsoft.
Механика надстроек Office устроена довольно просто. Внутрь почтового клиента не ставится полноценный модуль с зафиксированным кодом. Разработчик отправляет в Microsoft манифест, XML-файл с описанием разрешений и адреса, который нужно открывать во встроенном окне в боковой панели Outlook. После проверки манифест подписывается, и карточка появляется в магазине. А весь интерфейс и логика работы каждый раз загружаются с удаленного сервера по указанному URL. По сути, надстройка — это доверенная ссылка с набором прав доступа.
В манифесте AgreeTo, одобренном в декабре 2022 года, было указано разрешение ReadWriteItem. Оно позволяет читать и изменять письма пользователя. Для инструмента планирования встреч такой доступ выглядел оправданным. Проблема в том, что разрешение сохраняется независимо от того, что именно теперь отдает сервер по этому адресу. Платформа повторно не проверяет содержимое страницы. Нет контрольной суммы и закрепленной версии. Что размещено по ссылке сегодня, то и откроется внутри Outlook.
Исследователи зафиксировали первый известный случай , когда вредоносное дополнение для Microsoft Outlook распространялось через официальный каталог Office Add-in Store. Речь идет о надстройке AgreeTo для планирования встреч. К атаке он отношения не имеет, но после того как проект забросили, злоумышленник перехватил адрес, на который ссылалась надстройка, и превратил ее в фишинговый инструмент прямо внутри интерфейса Outlook.
AgreeTo появился в 2022 году как сервис для подбора удобного времени встреч. У него было расширение для Chrome и надстройка для Outlook. Пользователи активно ставили браузерную версию, у нее держался высокий рейтинг и положительные отзывы. Проект выглядел живым, с открытым репозиторием, кодом на TypeScript, интеграцией с Microsoft Graph API, Google Calendar и платежами через Stripe. Затем развитие остановилось. Последнее обновление Chrome-расширения вышло в мае 2023 года. Домен agreeto.app перестал продлеваться и отключился. В отзывах люди писали, что сервис больше не открывается. В итоге версию для Chrome удалили из магазина в феврале 2025 года. Надстройка Outlook при этом осталась доступна в каталоге Microsoft.
Механика надстроек Office устроена довольно просто. Внутрь почтового клиента не ставится полноценный модуль с зафиксированным кодом. Разработчик отправляет в Microsoft манифест, XML-файл с описанием разрешений и адреса, который нужно открывать во встроенном окне в боковой панели Outlook. После проверки манифест подписывается, и карточка появляется в магазине. А весь интерфейс и логика работы каждый раз загружаются с удаленного сервера по указанному URL. По сути, надстройка — это доверенная ссылка с набором прав доступа.
В манифесте AgreeTo, одобренном в декабре 2022 года, было указано разрешение ReadWriteItem. Оно позволяет читать и изменять письма пользователя. Для инструмента планирования встреч такой доступ выглядел оправданным. Проблема в том, что разрешение сохраняется независимо от того, что именно теперь отдает сервер по этому адресу. Платформа повторно не проверяет содержимое страницы. Нет контрольной суммы и закрепленной версии. Что размещено по ссылке сегодня, то и откроется внутри Outlook.