top of page

Primeiro add-in malicioso do Outlook rouba mais de 4 mil credenciais da Microsoft

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • há 29 minutos
  • 2 min de leitura

Pesquisadores identificaram o que está sendo descrito como o primeiro add-in malicioso do Microsoft Outlook detectado em atividade real. O caso, detalhado pela Koi Security e apelidado de “AgreeToSteal”, envolveu o sequestro de um domínio associado a um complemento legítimo abandonado, resultando no roubo de mais de 4 mil credenciais da Microsoft.


O add-in afetado, chamado AgreeTo, era originalmente uma ferramenta legítima para integrar calendários e compartilhar disponibilidade por e-mail. No entanto, após o abandono do projeto pelo desenvolvedor, o domínio vinculado ao manifesto do complemento foi reivindicado por um invasor, que passou a hospedar uma página falsa de login da Microsoft para capturar credenciais.

Como o ataque funcionou


Os add-ins do Office funcionam por meio de um arquivo manifesto que aponta para uma URL externa. Sempre que o complemento é aberto, o conteúdo é carregado dinamicamente do servidor indicado.


No caso do AgreeTo, o manifesto apontava para um domínio hospedado na Vercel (outlook-one.vercel[.]app). Quando o desenvolvedor original deixou de manter o projeto, a implantação foi excluída e o domínio ficou disponível para registro. O invasor assumiu o controle e passou a exibir uma página de phishing.


As credenciais digitadas eram enviadas via API do Telegram e, em seguida, a vítima era redirecionada para a página real de login da Microsoft, dificultando a percepção do golpe.


Risco maior do que parece


O complemento possuía permissões “ReadWriteItem”, que permitem ler e modificar e-mails do usuário. Embora o ataque tenha se limitado à coleta de credenciais, especialistas alertam que o impacto poderia ter sido muito mais grave incluindo exfiltração silenciosa de caixas de entrada inteiras.


O caso expõe uma fragilidade estrutural em marketplaces de software: o conteúdo é aprovado uma única vez, mas pode mudar posteriormente sem monitoramento contínuo.


Supply chain evolui para marketplaces corporativos


Especialistas destacam que o problema não é exclusivo da Microsoft Store. A mesma lógica já foi observada em extensões de navegador, pacotes npm e plugins de IDE.


O ataque explora uma lacuna entre o momento em que o desenvolvedor abandona o projeto e quando a plataforma detecta a mudança. Enquanto o manifesto permanece assinado e listado na loja, o conteúdo servido pode ser completamente diferente do aprovado inicialmente.


Após a divulgação, a Microsoft removeu o add-in da loja e recomendou que usuários desinstalem imediatamente o complemento e redefinam suas senhas como medida preventiva.


Recomendações de segurança


A Koi Security sugere que plataformas adotem medidas como:


  • Revalidação automática quando a URL do add-in mudar de conteúdo.

  • Verificação contínua da titularidade do domínio associado.

  • Remoção automática de complementos abandonados.

  • Monitoramento periódico do conteúdo dinâmico servido.


O incidente reforça a necessidade de revisões contínuas em marketplaces que utilizam dependências remotas dinâmicas.


 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

contato@cybersecbrazil.com.br

(11)97240-7838

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page