Злоумышленники развернули фишинговый кит в дополнении AgreeTo.
Специалисты Koi Security выявили аддон AgreeTo для Outlook. Инструмент предназначался для организации встреч. После взлома его преобразовали в инструмент для фишинга. Злоумышленники смогли похитить более 4000 аккаунтов Microsoft.
Первоначально AgreeTo создавался независимым автором и официально размещался в магазине дополнений Microsoft Office Add-in Store. Аддоны для Office реализованы в виде URL-адреса, который указывает на контент, загружаемый с сервера разработчика в продукты Microsoft. Создатель AgreeTo выбрал хостинг Vercel (outlook-one.vercel[.]app). Однако проект был заброшен, несмотря на наличие значительного числа пользователей.
Это обстоятельство позволило злоумышленникам воспользоваться ситуацией: захватив URL-ссылку, они внедрили фишинговый кит.
Важно отметить, что после первой проверки дополнения магазин Microsoft не проводит дальнейших мониторингов содержимого. Компания верифицирует манифест файла и подписывает его. Таким образом, после успешной первичной проверки фактическое содержание интерфейса и функционала остается вне контроля разработчиков Microsoft.
Злоумышленниками была создана фальшивая форма авторизации аккаунта Microsoft, включающая форму сбора паролей, скрипт для передачи данных и переадресацию на подлинную страницу входа. Когда пользователь запускал AgreeTo в Outlook, перед ним возникала подделанная страница авторизации Microsoft. Пароли и другие вводимые данные мгновенно направлялись преступникам посредством API Telegram-бота, после чего жертва автоматически переправлялась на реальную страницу авторизации.
Группа исследователей получила доступ к каналам передачи похищенной информации и выяснила, что через AgreeTo были похищены более 4000 учетных записей Microsoft, включая личные данные и даже номера банковских карт.
Злоумышленники сохранили права на работу с сообщениями пользователей благодаря настройкам расширений, позволяющим читать и редактировать электронные письма, хотя эта активность пока не выявлена.
Инцидент является первым зарегистрированным случаем обнаружения вредоносного расширения в самом магазине приложений Microsoft и первым известным примером реального использования подобного эксплойта против клиентов Outlook.
До 11 февраля 2026 года AgreeTo продолжал находиться в магазине, после чего специалисты Microsoft оперативно изъяли его оттуда. Пользователям настоятельно рекомендуют незамедлительно удалить данное расширение и изменить свои пароли.
Проблема носит гораздо более глубокий характер, связанный с общей структурой функционирования офисных дополнений. Microsoft утверждает, что процедура проверки ограничена исключительно файлом манифеста, содержащим базовые метаданные и права доступа. Фактически все дальнейшее взаимодействие осуществляется динамически, и система не способна отслеживать изменения, происходящие на стороне разработчиков.
Таким образом, атаки типа AgreeTo возможны даже спустя долгое время после первоначального утверждения приложения. Как отмечают эксперты, данная ситуация должна послужить серьезным сигналом для повышения уровня мониторинга и регулярной проверки программного обеспечения, публикуемого в официальных магазинах приложений.
Первоначально AgreeTo создавался независимым автором и официально размещался в магазине дополнений Microsoft Office Add-in Store. Аддоны для Office реализованы в виде URL-адреса, который указывает на контент, загружаемый с сервера разработчика в продукты Microsoft. Создатель AgreeTo выбрал хостинг Vercel (outlook-one.vercel[.]app). Однако проект был заброшен, несмотря на наличие значительного числа пользователей.
Это обстоятельство позволило злоумышленникам воспользоваться ситуацией: захватив URL-ссылку, они внедрили фишинговый кит.
Важно отметить, что после первой проверки дополнения магазин Microsoft не проводит дальнейших мониторингов содержимого. Компания верифицирует манифест файла и подписывает его. Таким образом, после успешной первичной проверки фактическое содержание интерфейса и функционала остается вне контроля разработчиков Microsoft.
Злоумышленниками была создана фальшивая форма авторизации аккаунта Microsoft, включающая форму сбора паролей, скрипт для передачи данных и переадресацию на подлинную страницу входа. Когда пользователь запускал AgreeTo в Outlook, перед ним возникала подделанная страница авторизации Microsoft. Пароли и другие вводимые данные мгновенно направлялись преступникам посредством API Telegram-бота, после чего жертва автоматически переправлялась на реальную страницу авторизации.
Группа исследователей получила доступ к каналам передачи похищенной информации и выяснила, что через AgreeTo были похищены более 4000 учетных записей Microsoft, включая личные данные и даже номера банковских карт.
Злоумышленники сохранили права на работу с сообщениями пользователей благодаря настройкам расширений, позволяющим читать и редактировать электронные письма, хотя эта активность пока не выявлена.
Инцидент является первым зарегистрированным случаем обнаружения вредоносного расширения в самом магазине приложений Microsoft и первым известным примером реального использования подобного эксплойта против клиентов Outlook.
До 11 февраля 2026 года AgreeTo продолжал находиться в магазине, после чего специалисты Microsoft оперативно изъяли его оттуда. Пользователям настоятельно рекомендуют незамедлительно удалить данное расширение и изменить свои пароли.
Проблема носит гораздо более глубокий характер, связанный с общей структурой функционирования офисных дополнений. Microsoft утверждает, что процедура проверки ограничена исключительно файлом манифеста, содержащим базовые метаданные и права доступа. Фактически все дальнейшее взаимодействие осуществляется динамически, и система не способна отслеживать изменения, происходящие на стороне разработчиков.
Таким образом, атаки типа AgreeTo возможны даже спустя долгое время после первоначального утверждения приложения. Как отмечают эксперты, данная ситуация должна послужить серьезным сигналом для повышения уровня мониторинга и регулярной проверки программного обеспечения, публикуемого в официальных магазинах приложений.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь