最初の悪意のあるプラグインがMicrosoft Win10/Win11アプリストアに侵入し、4000人以上のユーザーが被害に遭う

IT之家は2月12日、テクノロジーメディアのbleepingcomputerが昨日（2月11日）に公開したブログ記事を報じました。内容は、Microsoft StoreのOutlookプラグインAgreeToが乗っ取られ、フィッシングツールに変貌し、4,000以上のアカウント認証情報が漏洩したというものです。

このプラグインは独立系の開発者によってリリースされましたが、2022年12月の公開後にプロジェクトが放棄され、その結果、Vercel上にホストされていたURLが攻撃者に乗っ取られ、悪意のあるコードが埋め込まれました。

Microsoftはプラグインの公開後に追加の検証を行わなくなったため、攻撃者はこの仕組みの脆弱性を利用し、放棄されたURL上に偽のログインページやパスワード収集スクリプト、データ漏洩プログラムを展開しました。

ユーザーがこの悪意のあるプラグインを開くと、Outlookのサイドバーに偽のMicrosoftアカウントログイン画面が表示され、非常に騙しやすい作りになっています。入力された認証情報はTelegramボットAPIを通じてリアルタイムで攻撃者に送信され、その後、被害者は疑いを持たれないように実際のログインページへリダイレクトされます。

Koi Securityの研究者、オレン・ヨムトフ氏は、これがMicrosoft公式アプリストアで初めてのマルウェアであり、実環境で検出された最初の悪意あるOutlookプラグインであると指摘しています。

IT之家の報道前に、Microsoftはこのプラグインを削除しており、専門家はAgreeToをインストールしたユーザーに対し、直ちにアンインストールとパスワードのリセットを推奨しています。