Add-In độc hại đầu tiên xâm nhập Microsoft Store trên Win10/Win11, hơn 4.000 người dùng bị ảnh hưởng
Một tiện ích mở rộng (plugin hoặc Add in) Outlook có tên AgreeTo trên Microsoft Store đã bị chiếm quyền kiểm soát và biến thành công cụ lừa đảo (phishing), khiến hơn 4.000 thông tin đăng nhập tài khoản bị rò rỉ.
Plugin này do một nhà phát triển độc lập phát hành. Sau khi được đưa lên cửa hàng từ tháng 12/2022 và bị bỏ bê, đường dẫn (URL) được lưu trữ trên nền tảng Vercel đã bị tin tặc tiếp quản, từ đó chèn mã độc vào.
Do Microsoft không tiến hành xác minh lại các plugin sau khi đã được phê duyệt và phát hành, kẻ tấn công đã lợi dụng lỗ hổng trong cơ chế này để triển khai trang đăng nhập giả mạo, script thu thập mật khẩu và chương trình đánh cắp dữ liệu trên URL bị bỏ hoang.
Khi người dùng mở plugin độc hại, thanh bên (sidebar) của Outlook sẽ hiển thị một giao diện đăng nhập tài khoản Microsoft giả mạo với mức độ tinh vi cao. Thông tin đăng nhập mà người dùng nhập vào sẽ được gửi theo thời gian thực tới kẻ tấn công thông qua API của bot Telegram. Sau đó, nạn nhân sẽ bị chuyển hướng sang trang đăng nhập thật để giảm sự nghi ngờ.
Nhà nghiên cứu Oren Yomtov từ Koi Security cho biết đây là phần mềm độc hại đầu tiên xuất hiện trên Microsoft Store chính thức, đồng thời cũng là plugin Outlook độc hại đầu tiên được phát hiện trong môi trường thực tế.
Hiện tại Microsoft đã gỡ bỏ plugin này khỏi cửa hàng. Các chuyên gia khuyến cáo những người đã cài đặt AgreeTo cần lập tức gỡ bỏ và thay đổi mật khẩu tài khoản.
Nguồn tham khảo
www.koi.ai
Do Microsoft không tiến hành xác minh lại các plugin sau khi đã được phê duyệt và phát hành, kẻ tấn công đã lợi dụng lỗ hổng trong cơ chế này để triển khai trang đăng nhập giả mạo, script thu thập mật khẩu và chương trình đánh cắp dữ liệu trên URL bị bỏ hoang.
Khi người dùng mở plugin độc hại, thanh bên (sidebar) của Outlook sẽ hiển thị một giao diện đăng nhập tài khoản Microsoft giả mạo với mức độ tinh vi cao. Thông tin đăng nhập mà người dùng nhập vào sẽ được gửi theo thời gian thực tới kẻ tấn công thông qua API của bot Telegram. Sau đó, nạn nhân sẽ bị chuyển hướng sang trang đăng nhập thật để giảm sự nghi ngờ.
Nhà nghiên cứu Oren Yomtov từ Koi Security cho biết đây là phần mềm độc hại đầu tiên xuất hiện trên Microsoft Store chính thức, đồng thời cũng là plugin Outlook độc hại đầu tiên được phát hiện trong môi trường thực tế.
Hiện tại Microsoft đã gỡ bỏ plugin này khỏi cửa hàng. Các chuyên gia khuyến cáo những người đã cài đặt AgreeTo cần lập tức gỡ bỏ và thay đổi mật khẩu tài khoản.
Nguồn tham khảo
AgreeToSteal: The First Malicious Outlook Add-In Leads to 4,000 Stolen Credentials
A legitimate Outlook add-in was abandoned by its developer and silently taken over by a phishing operation. Over 4,000 credentials were stolen through Microsoft's own add-in store.
www.koi.ai
