Pesquisadores de segurança cibernética identificaram o primeiro add-in malicioso do Microsoft Outlook, que foi utilizado para roubar mais de 4.000 credenciais de usuários. Este ataque, denominado AgreeToSteal, foi detalhado pela Koi Security, que revelou que um invasor desconhecido assumiu o domínio de um add-in legítimo abandonado, redirecionando usuários para uma página falsa de login da Microsoft.
O add-in comprometido, chamado AgreeTo, era originalmente utilizado para integrar calendários e compartilhar disponibilidade por e-mail. A última atualização do add-in ocorreu em dezembro de 2022. Idan Dardikman, cofundador da Koi, destacou que este incidente amplia os vetores de ataque da cadeia de suprimentos, semelhante ao que ocorre com extensões de navegador e pacotes npm.
O ataque explorou a maneira como os add-ins do Office funcionam, especificamente a falta de monitoramento contínuo do conteúdo publicado no Marketplace. O arquivo de manifesto do add-in, que aponta para uma URL, foi manipulado após o domínio original ser abandonado. O invasor usou essa brecha para hospedar um kit de phishing que capturava senhas e as enviava via API do Telegram.
O add-in estava configurado com permissões que permitiam leitura e modificação de e-mails, o que poderia ter sido explorado para roubar conteúdos de caixas de correio. Dardikman ressaltou a necessidade de reavaliar ferramentas e pacotes em marketplaces para identificar atividades suspeitas.
Para mitigar riscos, a Koi sugere que a Microsoft implemente revisões quando o conteúdo de uma URL de add-in mudar, verifique a propriedade do domínio e sinalize add-ins não atualizados. Além disso, a exibição de contagens de instalação pode ajudar a avaliar o impacto.
Fonte:https://thehackernews.com/2026/02/first-malicious-outlook-add-in-found.html
