Gli esperti di Koi Security hanno trovato sullo store ufficiale di Office un’add-in per Outlook che è stato sfruttato per rubare oltre 4.000 credenziali di account Microsoft. Il suo nome è AgreeTo e veniva pubblicizzato come tool per la pianificazione dei meeting. In seguito alla segnalazione dei ricercatori, l’azienda di Redmond ha rimosso il componente aggiuntivo.
Descrizione dell’add-in infetto
Gli esperti di Koi Security hanno verificato che AgreeTo era sullo store da dicembre 2022. L’add-in ha ottenuto un discreto successo, ma lo sviluppatore ha abbandonato il progetto. La pericolosità di questi componenti aggiuntivi è dovuta al fatto che sono semplici URL. Microsoft esamina il relativo file XML (solo all’inizio), aggiunge la firma e li pubblica sullo store.
Se l’utente “installa” l’add-in, il suo codice viene scaricato dal server dello sviluppatore ad ogni utilizzo. È quindi sufficiente cambiare il codice per infettare il computer tramite Outlook. AgreeTo aveva i permessi di lettura/scrittura, quindi poteva leggere e modificare le email. L’analoga estensione per Chrome è stata rimossa da Google l’anno scorso, mentre quella per Outlook è rimasta online fino a pochi giorni fa.
L’URL di AgreeTo puntava a outlook-one.vercel.app. Dopo l’abbandono del progetto da parte dello sviluppatore, questo sottodominio è stato acquistato da un cybercriminale e sfruttato per attacchi di phishing. Quando l’ignara vittima apriva l’add-in di Outlook veniva mostrata una falsa schermata di login simile a quella legittima di Microsoft.
Ovviamente email e password sono state inviate al cybercriminale tramite un bot di Telegram. I ricercatori di Koi Security hanno individuato oltre 4.000 account rubati, insieme a numeri di carte di credito. Come detto, l’add-in è stato rimosso da Microsoft. Gli utenti devono eliminarlo subito da Outlook e cambiare tutte le password.
Ti potrebbe interessare
14 feb 2026