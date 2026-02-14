Gli esperti di Koi Security hanno trovato sullo store ufficiale di Office un’add-in per Outlook che è stato sfruttato per rubare oltre 4.000 credenziali di account Microsoft. Il suo nome è AgreeTo e veniva pubblicizzato come tool per la pianificazione dei meeting. In seguito alla segnalazione dei ricercatori, l’azienda di Redmond ha rimosso il componente aggiuntivo.

Descrizione dell’add-in infetto

Gli esperti di Koi Security hanno verificato che AgreeTo era sullo store da dicembre 2022. L’add-in ha ottenuto un discreto successo, ma lo sviluppatore ha abbandonato il progetto. La pericolosità di questi componenti aggiuntivi è dovuta al fatto che sono semplici URL. Microsoft esamina il relativo file XML (solo all’inizio), aggiunge la firma e li pubblica sullo store.

Se l’utente “installa” l’add-in, il suo codice viene scaricato dal server dello sviluppatore ad ogni utilizzo. È quindi sufficiente cambiare il codice per infettare il computer tramite Outlook. AgreeTo aveva i permessi di lettura/scrittura, quindi poteva leggere e modificare le email. L’analoga estensione per Chrome è stata rimossa da Google l’anno scorso, mentre quella per Outlook è rimasta online fino a pochi giorni fa.

L’URL di AgreeTo puntava a outlook-one.vercel.app . Dopo l’abbandono del progetto da parte dello sviluppatore, questo sottodominio è stato acquistato da un cybercriminale e sfruttato per attacchi di phishing. Quando l’ignara vittima apre l’add-in di Outlook viene mostrata una falsa schermata di login simile a quella legittima di Microsoft.

Ovviamente email e password vengono inviate al cybercriminale tramite un bot di Telegram. I ricercatori di Koi Security hanno individuato oltre 4.000 account rubati, insieme a numero di carte di credito. Come detto, l’add-in è stata rimossa da Microsoft. Gli utenti devono eliminarla subito da Outlook e cambiare tutte le password.