Primeiro plugin malicioso invade a loja de aplicações da Microsoft Win10/Win11, afetando mais de 4000 utilizadores

A IT House noticiou a 12 de fevereiro que a technology media bleepingcomputer publicou ontem (11 de fevereiro) uma publicação no blog, relatando que o plug-in Outlook AgreeTo na Microsoft Store foi sequestrado e reduzido a uma ferramenta de phishing, resultando na fuga de mais de 4.000 credenciais de conta.

O plugin foi lançado por um programador independente e foi abandonado devido ao projeto após o seu lançamento em dezembro de 2022, resultando no URL alojado na Vercel a ser tomado por atacantes, implantando assim código malicioso.

Como a Microsoft já não realiza verificações de seguimento após o lançamento do plugin, o atacante explorou esta vulnerabilidade do mecanismo para implementar páginas de login falsas, scripts de recolha de palavras-passe e programas de exfiltração de dados em URLs abandonadas.

Quando os utilizadores abrem o plugin malicioso, a barra lateral do Outlook mostra uma interface de login falsa da conta Microsoft, o que é altamente enganador. As credenciais introduzidas pelo utilizador são enviadas ao atacante em tempo real através da API do bot do Telegram, após o que a vítima é redirecionada para uma página real de login para reduzir suspeitas.

O investigador da Koi Security, Oren Yomtov, salientou que este é o primeiro malware na loja oficial de aplicações da Microsoft e o primeiro plugin malicioso do Outlook a ser detetado num ambiente real.

Antes do comunicado de imprensa da IT House, a Microsoft tinha removido o plugin, e os especialistas recomendavam que os utilizadores que instalassem o AgreeTo desinstalassem e redefinissem imediatamente as suas palavras-passe.