08.05.2023
1 хв
1273
У статті детально розбирається механізм атаки: як працюють Outlook add-ins, чому перевірка манифесту не гарантує безпеки, як відбувся takeover домену та яким чином дані користувачів передавалися через Telegram Bot API. Аналізується архітектурна проблема екосистеми Microsoft Office Add-in Store та ризики для корпоративних користувачів і адміністраторів.
Це перший відомий випадок, коли надбудова Microsoft Outlook стала частиною реальної фішингової атаки. І тут важливо одразу уточнити одну річ. Людина, яка створила цей продукт, не була зловмисником.
У 2022 році розробник запустив сервіс для планування зустрічей під назвою AgreeTo та розмістив його в магазині надбудов Microsoft Office. Інструмент працював, мав хороші відгуки й реально допомагав людям організовувати зустрічі. Це був нормальний, живий проєкт.
З часом автор переключився на інші справи, а розробка припинилася. Проєкт поступово згас. Але сама надбудова залишилася доступною в магазині Microsoft.
І саме тут усе пішло не так.
Надбудови Office фактично є веб-сторінками, які Outlook відкриває у своїй бічній панелі. У випадку AgreeTo ця сторінка розміщувалася на платформі Vercel. Коли проєкт закрили, розгортання видалили, а адреса стала вільною.
Зловмисник просто зареєстрував цю адресу. Він не зламував Microsoft і не проходив жодних перевірок. Він розмістив на сайті фішингову сторінку входу Microsoft. Після цього Outlook почав показувати її користувачам як частину легітимної надбудови.
По суті, фішинг доставлявся всередині довіреного середовища.
Коли дослідникам вдалося отримати доступ до каналу, через який зловмисник отримував дані, масштаби стали очевидними. Було викрадено понад 4 000 облікових записів Microsoft. Серед зібраної інформації були паролі, номери кредитних карток і відповіді на банківські контрольні питання. Зловмисник продовжував перевіряти ці дані буквально напередодні. Інфраструктура атаки все ще активна.
Це історія не про складну технічну атаку. Це історія про покинутий проєкт, який залишився в магазині, і про одну вільну веб-адресу, що з часом стала інструментом фішингу.
Щоб зрозуміти, як таке стало можливим, потрібно спочатку розібратися, як насправді працюють надбудови Office.
Надбудови Office – це не інстальований код. Це URL-адреси.
Розробник надсилає до Microsoft маніфест – XML-файл із написом «завантажити цю URL-адресу в iframe всередині Outlook». Microsoft переглядає маніфест, підписує його та додає надбудову до свого магазину. Але фактичний вміст – інтерфейс користувача, логіка, все, з чим взаємодіє користувач – отримується в режимі реального часу із сервера розробника щоразу, коли надбудова відкривається.
Ось як це виглядає. Це маніфест, підписаний Microsoft для AgreeTo у грудні 2022 року:
Зверніть увагу на дозвіл ReadWriteItem. Він дає надбудові право читати та змінювати електронні листи користувача. Для сервісу планування зустрічей це виглядало логічно. Йому дійсно потрібен був доступ до листів, щоб працювати коректно. Але зовсім інша ситуація, коли цією ж адресою сьогодні керує вже не автор проєкту.
У цій моделі немає статичного пакета, який можна зберегти й перевірити. Немає хешу, який дозволяє впевнитися, що код залишився незмінним. Усе працює в реальному часі. Те, що зараз віддає outlook-one.vercel.app, автоматично підтягується в Outlook і відображається користувачу.
Якщо розробник випустить невдале оновлення, воно одразу стане активним. Якщо ж хтось сторонній отримає контроль над цією URL-адресою, він фактично визначає, що бачать користувачі в бічній панелі Outlook. І при цьому надбудова вже має повні права на читання та зміну їхньої пошти.
Microsoft перевірив і підписав маніфест один раз, у грудні 2022 року. Після цього сам вміст сторінки більше ніхто не контролює. Outlook продовжує довіряти цій адресі, навіть якщо те, що на ній розміщено сьогодні, зовсім не схоже на початковий продукт.
AgreeTo був цілком реальним продуктом, а не якимось тимчасовим експериментом. Це був сервіс для планування зустрічей з відкритим кодом, із розширенням для Chrome та надбудовою для Outlook. У Chrome ним користувалися близько тисячі людей, середній рейтинг складав 4,71 зірки, і було понад двадцять відгуків. Для невеликого інструмента це дуже гідний результат.
Надбудову для Outlook опублікували в магазині Microsoft у грудні 2022 року. Проєкт виглядав серйозно. Розробник вів активний репозиторій на GitHub, де був повноцінний TypeScript-монорепозиторій з інтеграцією Microsoft Graph API, підтримкою Google Calendar та навіть підключеним білінгом через Stripe.
Це не виглядало як покинута ідея чи хобі на вихідні. Було видно, що людина намагалася побудувати з цього справжній продукт і бізнес.
Потім розробку зупинили. Останнє оновлення розширення Chrome було випущено у травні 2023 року. Термін дії домену розробника, agreeto.app, закінчився. До липня 2024 року користувачі залишали відгуки про розширення Chrome:
«Для мене все було 5 зірок до сьогоднішнього ранку. Я спробував увійти, а сайт agreeto.app більше не працює. Цей додаток помер? Сподіваюся, що ні».
«Цей додаток помер? Більше не працює. Вимагає входу в систему та перенаправляє на сторінку резервування GoDaddy. Я постійно користуюся цим додатком, і він робить саме те, що мені потрібно».
Google зрештою видалив непрацююче розширення Chrome у лютому 2025 року. Але надбудова Outlook залишалася в магазині Microsoft Office, все ще вказуючи на URL-адресу Vercel, яка більше нікому не належала.
Після того як розробник припинив підтримку проєкту, його розгортання на Vercel зникло. Піддомен outlook-one.vercel.app залишився без власника. Згодом ним просто скористався інший.
Зловмисник зареєстрував цю адресу і розмістив на ній простий фішинговий набір із чотирьох сторінок. Підроблена сторінка входу Microsoft, форма збору пароля, скрипт для передавання даних і фінальна переадресація на справжній сайт. Більше нічого не потрібно.
Він не подавав жодних заявок у Microsoft і не проходив повторної перевірки. Він не створював нову сторінку в магазині. Усе це вже існувало раніше. Надбудова була офіційно опублікована, перевірена і підписана Microsoft ще у 2022 році. Зловмиснику достатньо було лише отримати контроль над старою URL-адресою. Далі система почала працювати на нього.
Якщо придивитися до інфраструктури, добре видно різницю між двома авторами. Оригінальні елементи продукту не працюють. Значки, OAuth-обробники, дизайнерські файли Microsoft повертають помилку 404. Зловмисник не мав доступу до початкового коду, тому не намагався відтворювати повний сервіс. Він розгорнув лише те, що було необхідно для фішингу, і цього виявилося достатньо.
Коли жертва відкриває надбудову AgreeTo в Outlook, вона не бачить планувальник зустрічей. Вона бачить сторінку входу Microsoft.
Вони вводять свою електронну адресу, а потім пароль. Одна функція JavaScript збирає облікові дані разом з IP-адресою жертви та надсилає все зловмиснику через Bot API Telegram. Жодних серверів командного керування. Жодної складної інфраструктури. Лише виклик fetch() до Telegram.
Потім кілька секунд завантаження та безперешкодне перенаправлення на справжній login.microsoftonline.com. Жертва вважає, що їй потрібно знову увійти, і займається своїми справами. Вона й гадки не має, що її пароль щойно вкрали.
Сама техніка фішингу є базовою. Її ефективність залежить від контексту: вона працює всередині Outlook, за допомогою власної інфраструктури надбудов Microsoft, за запитом довіреного дозволу.
Магазин надбудов Microsoft Office не відображає кількість встановлень, тому оцінити масштаб інциденту лише за сторінкою продукту було неможливо.
Однак зловмисник припустився серйозної помилки. Його інфраструктура для збору викрадених даних була захищена неналежним чином, що дозволило дослідникам отримати доступ усередину. Спершу вдалося підтвердити масштаби операції. Кількість жертв перевищила 4 000 осіб.
Подальший аналіз дав змогу відновити повний обсяг зібраних даних. Серед них були електронні адреси, паролі, номери кредитних карток і відповіді на контрольні запитання. Усе, що користувачі вводили на фішинговій сторінці, зберігалося в інфраструктурі зловмисника.
Ці дані не просто накопичувалися. Облікові записи активно перевірялися, доступи тестувалися. Кампанія залишається активною, і нові жертви продовжують з’являтися.
Розслідування також показало, що надбудова Outlook була лише одним із каналів. Той самий зловмисник використовує щонайменше дванадцять різних фішингових наборів, які маскуються під інтернет-провайдерів, банки та сервіси веб-пошти. Це не випадковий інцидент, а масштабна фішингова операція.
Серед викрадених даних були не лише облікові записи електронної пошти. Також збиралися номери кредитних карток, CVV, PIN-коди та відповіді на банківські контрольні запитання, які можуть використовуватися для перехоплення платежів Interac e-Transfer. Надбудова Outlook стала лише одним із способів розповсюдження цієї схеми.
Значущим цей випадок робить не техніка фішингу – фальшива сторінка входу та бот Telegram – це майже все. Значущим є механізм доставки та структурний збій, який його спричинив.
Зловмисник не надсилав фішингового електронного листа. Їм не потрібно було обманом змушувати когось натискати на підозріле посилання. Вони захопили покинуту URL-адресу, на яку спрямовувала користувачів власна інфраструктура Microsoft, і Microsoft продовжувала розповсюджувати її в Outlook, використовуючи запит на довірений дозвіл.
Для існуючих засобів безпеки це майже непомітно:
Шлюзи безпеки електронної пошти це не виявлять – фішингова сторінка не надходить електронною поштою.
Захист кінцевих точок не позначатиме це – це JavaScript, що працює всередині легітимного процесу Microsoft.
Фільтрація URL-адрес не враховує це – фішингові сторінки розміщені на vercel.app, який обслуговує мільйони легітимних програм.
Але глибша проблема полягає в архітектурі. Надбудови Office – це віддалені динамічні залежності – вони завантажують URL-адресу в iframe. Контент змінний. Надбудова, яка є чистою в понеділок, може обслуговувати фішингову сторінку у вівторок – або, як у цьому випадку, через роки. Microsoft перевіряє маніфест під час надсилання, але фактичний вміст може змінитися будь-коли без подальшої перевірки.
А могло бути й гірше. Маніфест AgreeTo оголошує дозволи ReadWriteItem – надбудова може читати та змінювати електронні листи користувача. Зловмисник використав це для простої фішингової сторінки, але ніщо не заважає йому розгорнути JavaScript, який непомітно читає поштову скриньку жертви, витягує конфіденційні повідомлення або надсилає фішингові електронні листи з власного облікового запису жертви. Дозвіл був наданий Microsoft, коли надбудова була легітимною. Він все ще діє зараз, коли вона не є легітимною.
Жодне з цих занепокоєнь не є чимось новим. Дослідники безпеки з MDSec ще у 2019 році позначили надбудови Office як поверхню для атаки, продемонструвавши, як їх можна використати як зброю для отримання постійного доступу до поштової скриньки жертви. Їхній допис закінчувався попередженням: «Microsoft також дозволяє розробникам розміщувати ці надбудови в магазині, де користувачі можуть їх встановлювати.
