Se és utilizador do Outlook e tens o hábito de instalar suplementos para melhorar a tua produtividade, é altura de verificar a tua lista de ferramentas instaladas. Um suplemento popular, chamado "AgreeTo", foi sequestrado por cibercriminosos e transformado numa ferramenta de espionagem, roubando milhares de credenciais e até dados bancários diretamente através da plataforma oficial da Microsoft.
O caso é particularmente alarmante porque, ao contrário do que é habitual, este malware não chegou através de um download suspeito ou de um email de phishing externo. Ele estava alojado, aprovado e disponível na loja oficial de suplementos do Office.
De ferramenta legítima a perigo de segurança
A história do "AgreeTo" começa de forma inocente. Originalmente, tratava-se de uma ferramenta legítima desenvolvida por um programador independente para ajudar no agendamento de reuniões através do Outlook. O suplemento estava disponível na loja oficial desde dezembro de 2022. No entanto, o problema surgiu quando o projeto foi abandonado pelo seu criador.
Os suplementos do Office funcionam carregando conteúdo a partir de um servidor externo gerido pelo programador. No caso do AgreeTo, este conteúdo estava alojado num endereço da Vercel. Quando o programador original deixou de manter o projeto, o URL ficou "órfão", permitindo que qualquer pessoa o registasse novamente.
Foi exatamente isso que um atacante fez. Ao reclamar o domínio abandonado, o pirata informático conseguiu injetar código malicioso num suplemento que já estava instalado nos computadores de muitas vítimas e que continuava listado na loja da Microsoft como sendo seguro. Como a gigante tecnológica apenas valida o manifesto do suplemento no momento da submissão inicial, a alteração do conteúdo remoto passou completamente despercebida.
Roubo de dados em tempo real
Uma vez sob o controlo dos criminosos, o suplemento deixou de ajudar a marcar reuniões e passou a apresentar uma página de login falsa da Microsoft na barra lateral do Outlook. Para um utilizador comum, esta solicitação parecia um procedimento de segurança normal da aplicação.
Segundo a investigação detalhada da Koi Security, os dados introduzidos nesta janela fraudulenta eram enviados diretamente para os atacantes através de uma API do Telegram. Para evitar suspeitas, após o roubo das credenciais, a vítima era redirecionada para a página de login real da Microsoft.
O impacto foi significativo: os investigadores descobriram que mais de 4.000 credenciais de contas Microsoft foram roubadas. Além disso, o kit de phishing estava configurado para recolher números de cartões de crédito e respostas a perguntas de segurança bancária. Embora o suplemento tivesse permissões para ler e modificar emails, ainda não foi confirmado se essa funcionalidade foi explorada. A Microsoft já removeu o AgreeTo da loja, mas se ainda o tens instalado, deves removê-lo imediatamente e alterar as tuas palavras-passe.
Nenhum comentário
Seja o primeiro!