¿Qué ocurrió con el add-in de Outlook AgreeTo?

El add-in AgreeTo, originalmente una herramienta legítima para programar reuniones, fue secuestrado por un actor malicioso tras ser abandonado por su desarrollador. Esto permitió que el add-in se convirtiera en un kit de phishing que robó más de 4.000 credenciales de cuentas Microsoft, así como información bancaria y números de tarjetas de crédito.

¿Cómo fue posible secuestrar el add-in?

Los add-ins de Office cargan contenido desde URLs alojadas por el desarrollador. AgreeTo fue abandonado y su URL quedó disponible en Vercel, lo que permitió a un atacante reclamarlo y alojar un kit de phishing que imitaba la interfaz de Microsoft dentro de Outlook.

¿Qué tipo de información fue robada?

Se robaron más de 4.000 credenciales de cuentas Microsoft, además de información bancaria como números de tarjetas de crédito y respuestas a preguntas de seguridad. También existía potencial acceso a correos electrónicos y datos de Outlook debido a los permisos ReadWriteItem del add-in.

¿Es este el primer add-in malicioso detectado en Microsoft Marketplace?

Sí. Según Koi Security, este caso marca la primera vez que se detecta malware alojado directamente en la Microsoft Marketplace y el primer add-in de Outlook malicioso detectado en libertad.

¿Qué deben hacer los usuarios si tenían AgreeTo instalado?

Se recomienda eliminar inmediatamente el add-in, restablecer las contraseñas de las cuentas Microsoft, monitorear actividad sospechosa en correo y servicios financieros, y revisar los permisos de otros add-ins instalados.

Add-in de Outlook secuestrado en Microsoft Store roba más de 4.000 Cuentas | Noticias Hacking y Seguridad Informática

Q: ¿Cómo funcionaba el ataque de phishing a través de AgreeTo?

Cuando los usuarios abrían AgreeTo, se mostraba una interfaz falsa de inicio de sesión de Microsoft. Las credenciales ingresadas se enviaban a los atacantes mediante Telegram bot API, y luego los usuarios eran redirigidos a la página oficial de Microsoft para evitar sospechas.

Investigadores de Koi Security han descubierto que el add-in de Outlook AgreeTo, originalmente una herramienta legítima para programar reuniones, fue secuestrado y convertido en un kit de phishing. Lo que permitió a los atacantes robar más de 4.000 credenciales de cuentas Microsoft, así como información bancaria y números de tarjetas de crédito.

¿Cómo ocurrió el secuestro del add-in?

El add-in AgreeTo fue desarrollado por un editor independiente y estuvo disponible en Microsoft Office Add-in Store desde diciembre de 2022.

Los add-ins de Office funcionan como URLs que cargan contenido desde el servidor del desarrollador dentro de productos Microsoft. En este caso, AgreeTo cargaba contenido desde un URL alojado en Vercel (outlook-one.vercel.app).

El proyecto fue abandonado por su desarrollador, pero el módulo permaneció listado en la Microsoft Store, lo que permitió que un actor malicioso reclamara el URL abandonado y plantara un kit de phishing completo.

Saber Más..

¿Cómo funcionaba el ataque?

El actor malicioso desplegó:

Página de inicio de sesión falsa de Microsoft
Página de recolección de contraseñas
Script de exfiltración de datos
Redirección a la página legítima de Microsoft

Cuando los usuarios abrían el add-in en Outlook, veían una interfaz falsa de login en la barra lateral del programa, que fácilmente podía confundirse con una página oficial.

Las credenciales ingresadas se enviaban a los atacantes mediante Telegram bot API, mientras que los usuarios eran redirigidos a la página real de Microsoft para no levantar sospechas.

El add-in retuvo permisos de ReadWriteItem, permitiendo leer y modificar correos electrónicos, aunque no se confirmó que se hayan usado para tales fines.

Impacto del ataque

Más de 4.000 credenciales de cuentas Microsoft robadas
Exposición de números de tarjetas de crédito y respuestas de seguridad bancaria
Posible acceso a correos electrónicos y datos de Outlook, aunque no confirmado

Koi Security también identificó que el operador detrás de este ataque gestiona al menos una docena de kits de phishing adicionales dirigidos a proveedores de correo, bancos y servicios web.

Importancia del caso

Este incidente marca la primera vez que se detecta malware alojado en la Microsoft Marketplace y el primer add-in de Outlook malicioso detectado en libertad, según los investigadores.

Aunque los add-ins maliciosos no son nuevos, AgreeTo destaca por haber sido publicado directamente en la tienda oficial, lo que aumenta la confianza de los usuarios y facilita el engaño.

Recomendaciones de seguridad

Si todavía tienes AgreeTo instalado en Outlook:

Elimínalo inmediatamente
Restablece las contraseñas de tus cuentas Microsoft
Monitorea tus cuentas de correo y servicios financieros por actividad sospechosa
Mantén tus add-ins y software actualizados, y revisa los permisos de cualquier add-in instalado

Microsoft ha retirado el add-in de su Marketplace, aunque Koi Security aún espera una respuesta oficial de la compañía sobre el incidente.

¿Cómo ocurrió el secuestro del add-in?

¿Cómo funcionaba el ataque?

Impacto del ataque

Importancia del caso

Recomendaciones de seguridad

🔥 LO MÁS VISTO DE ESTA CATEGORÍA