СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 февраля
#ИБ

Надстройка Outlook «AgreeToSteal» раскрыла масштабный фишинг и кражу учётных данных

Появление вредоносной надстройки Outlook под названием AgreeToSteal выявило серьёзные структурные уязвимости в механике работы надстроек Office. По данным расследования, злоумышленник сумел похитить около 4000 учётных данных пользователей, используя механизм динамической загрузки содержимого при каждом открытии надстройки в Outlook.

Что произошло

Изначально AgreeTo был законным open‑source инструментом планирования с активной базой пользователей и репозиторием на GitHub. Однако проект был захвачен и переименован/модифицирован в вредоносную надстройку AgreeToSteal, которая при запуске подгружала контент с сервера разработчика. В результате пользователю вместо ожидаемого интерфейса планирования показывалась обманчивая страница входа в систему Microsoft, что инициировало фишинг‑цепочку.

Механизм атаки

Анализ показал, что злоумышленник использовал стандартный четырёхстраничный фишинг‑набор:

  • поддельная страница входа в систему (impostor Microsoft sign‑in);
  • страница сбора паролей и дополнительных данных;
  • скрипт эксфильтрации (data exfiltration) для отправки похищенной информации на сервер злоумышленника;
  • механизм перенаправления, скрывающий следы и подменяющий поведение надстройки.

Масштабы и характер компрометации

Операция носила координированный и масштабный характер: тот же злоумышленник связан как минимум с дюжиной различных фишинг‑наборов, имитирующих авторитетные бренды — в том числе канадских интернет‑провайдеров и банков. Помимо учётных данных электронной почты, в результате компрометации были похищены:

  • номера кредитных карт и CVV;
  • PIN‑коды и ответы на вопросы банковской безопасности;
  • информация, позволяющая проводить финансовые транзакции, включая Interac e‑transfer.

Это указывает на высокоорганизованную фишинг‑операцию, ориентированную не только на доступ к почте, но и на перехват финансовых операций.

Почему это возможно: проблемы в модели надстроек Office

Ключевая уязвимость — динамичность надстроек: они способны изменять содержимое в любой момент без уведомления пользователей или аудиторов. Традиционные проверки, проводимые в момент публикации, не гарантируют безопасности в дальнейшем, поскольку легитимное приложение может позднее загрузить вредоносный код или подменить интерфейс.

Инцидент подчёркивает «насущную потребность в усовершенствованных системах мониторинга, способных обнаруживать переход от доброкачественного к вредоносному поведению».

Это ставит под сомнение адекватность существующих процедур верификации и мониторинга для add‑ins, где runtime‑поведение и удалённые зависимости остаются слабо контролируемыми.

Рекомендации

На основе произошедшего эксперты предлагают следующие меры для снижения рисков:

  • Внедрить непрерывный мониторинг runtime‑поведения надстроек и сравнение загружаемого контента с базовой доверенной версией.
  • Ограничить возможность динамической загрузки кода без дополнительной проверки и подписания (code signing) контента.
  • Ввести автоматические алерты и блокировки при обнаружении подмены интерфейсов входа/авторизации.
  • Усилить проверку поставщиков надстроек: аудит изменений в репозиториях, контроль владения проектом и цепочек поставок (supply chain).
  • Широко внедрять и рекомендовать пользователям многофакторную аутентификацию (MFA) и сегментацию чувствительных операций.
  • Обеспечить быстрый механизм отзывa и репутационной блокировки надстроек в экосистеме Office при признаках компрометации.

Выводы

Случай с AgreeToSteal демонстрирует, как легитимные open‑source проекты могут быть использованы в качестве векторов доставки для фишинга и финансового мошенничества. Для эффективной защиты необходим переход от одноразовой валидации к постоянному контролю поведения зависимостей и раннему обнаружению аномалий. Без таких мер пользователи и организации останутся уязвимы перед эволюционирующими угрозами, использующими законные приложения как прикрытие.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: