Contents

ハッカーが Outlook アドインをハイジャックして 4,000 以上の Microsoft アカウントを盗む

<本文>/images/outlook-add-in-phishing.jpg

Microsoft のマーケットプレイスに出品されている正規の Outlook アドインがハイジャックされてフィッシング キットに変えられ、その結果、何千もの Microsoft 認証情報が盗まれました。

Koi Security のセキュリティ研究者は、放棄されたホスティング URL が脅威アクターによって制御された後、AgreeTo Outlook アドインが侵害されたと報告しています。この事件により、追加の機密データとともに 4,000 件を超える Microsoft アカウントの資格情報が盗難されたと報告されています。

正規の Outlook アドインが悪用されて Microsoft 認証情報が盗まれる

AgreeTo はもともと、独立した出版社によって開発された正規の会議スケジュール ツールとして立ち上げられました。 Microsoft は 2022 年 12 月からこれを Office アドイン ストアに掲載していました。

Office アドインは、Microsoft のインフラストラクチャから直接実行されません。代わりに、開発者がホストする URL からコンテンツを読み込みます。この場合、AgreeTo は Vercel がホストするドメイン、outlook-one.vercel.app に依存していました。

元の開発者が URL を放棄した後、攻撃者が孤立したアドレスの制御を主張し、そのコンテンツをフィッシング キットに置き換えました。 Microsoft はアドイン マニフェスト ファイルに署名してレビューしますが、承認後にホストされているコンテンツを継続的に検証していないため、悪意のあるコンテンツは気づかれませんでした。

Outlook 内での偽の Microsoft ログイン

Koi の研究者によると、侵害されたアドインは、Outlook のサイドバー内に偽の Microsoft サインイン ページを表示しました。このページは、資格情報を取得するために正規の Microsoft ログイン インターフェイスを厳密に模倣しました。

被害者が詳細を入力すると、疑念を軽減するために、アドインは被害者を実際の Microsoft ログイン ページにリダイレクトしました。研究者らによると、攻撃者は盗んだ認証情報を積極的にテストし、場合によってはクレジットカード番号や銀行のセキュリティに関する回答も収集したという。

報告によると、この悪意のあるバージョンは、今日削除されるまで Microsoft Store で入手可能なままでした。

最初に確認されたマーケットプレイス マルウェアのケース

Koi の研究者らは、この事件は Microsoft の公式マーケットプレイスを通じてホストされた最初に確認されたマルウェア キャンペーンであり、悪意のある Outlook アドインが実際に検出された最初のものであると説明しています。

このキャンペーンの背後にいるオペレーターは、少なくとも 12 個の他のフィッシング キットを実行しているとされており、認証情報収集のために設計された広範なインフラストラクチャを示唆しています。

まだ AgreeTo をインストールしているユーザーは、アドインをすぐに削除する必要があります。影響を受ける個人は、Microsoft アカウントのパスワードをリセットし、多要素認証を有効にし、最近のアカウント アクティビティに不審な動作がないか確認する必要があります。

この事件は、SharePoint を悪用したフィッシング キャンペーンや、リモート スクリプトの実行を可能にする最近パッチが適用されたメモ帳の脆弱性など、Microsoft のエコシステムにおける他の最近のセキュリティ問題に続いて発生しました。

別のニュースでは、Exchange Online が正規の電子メールに誤ってフィッシング行為としてフラグを立てていたと報告されています。 Microsoft はこの問題を認識しており、現在修正に取り組んでいます。

報道時点ではマイクロソフトは公式声明を発表していなかった。

BleepingComputer経由

*️⃣ 出典リンク:

Koi セキュリティ レポート、SharePoint、メモ帳の脆弱性を悪用したフィッシング キャンペーン、正規の電子メールに誤ってフィッシングとしてフラグを設定、 BleepingComputer