Pesquisadores de segurança cibernética identificaram o primeiro add-in malicioso do Microsoft Outlook, que resultou no roubo de mais de 4.000 credenciais da Microsoft. O ataque, denominado AgreeToSteal pela empresa Koi Security, explorou um domínio associado a um add-in legítimo abandonado, redirecionando usuários para uma falsa página de login da Microsoft.
O add-in comprometido, chamado AgreeTo, foi originalmente projetado para integrar calendários e compartilhar disponibilidade por e-mail. Atualizado pela última vez em dezembro de 2022, o add-in foi alvo de um ataque que aproveitou a ausência de monitoramento contínuo de conteúdo nos add-ins publicados no Marketplace da Microsoft.
O ataque se aproveitou de um domínio expirado, que foi então usado para hospedar um kit de phishing. Este kit exibia uma página de login falsa, capturando senhas e enviando-as através da API do Telegram Bot, antes de redirecionar a vítima para a página de login legítima da Microsoft.
O incidente destaca a necessidade de reavaliação contínua de add-ins e ferramentas em marketplaces para identificar atividades suspeitas. A Koi Security sugere que a Microsoft implemente revisões adicionais quando o conteúdo de um add-in mudar, além de verificar a propriedade do domínio associado.
Entre as recomendações, está a verificação de propriedade dos domínios e a remoção de add-ins que não são atualizados por longos períodos. A Koi Security também sugere a exibição de contagens de instalação para avaliar o impacto potencial.
Fonte:https://thehackernews.com/2026/02/first-malicious-outlook-add-in-found.html
