إضافة Outlook الخبيثة AgreeTo تسرق بيانات أكثر من 4000 حساب Microsoft !

133

رصد باحثو الأمن السيبراني أول إضافة خبيثة داخل Microsoft Outlook يتم اكتشافها في هجوم حقيقي حيث استُخدمت إضافة شرعية قديمة باسم AgreeTo لتنفيذ عملية اختراق واسعة ضمن هجمات Supply Chain أدت إلى سرقة بيانات تسجيل الدخول لأكثر من 4000 حساب Microsoft بعد السيطرة على البنية المرتبطة بها.

الإضافة AgreeTo كانت أداة أصلية تتيح ربط عدة تقاويم ومشاركة أوقات التوفر عبر البريد الإلكتروني وتم نشرها رسمياً داخل Microsoft Marketplace وتحديثها آخر مرة في ديسمبر 2022 قبل أن تصبح مهجورة ويترك المطور البنية المرتبطة بها دون متابعة ما فتح الباب لاستغلالها لاحقاً.

آلية الاختراق اعتمدت على ملف manifest الخاص بإضافة AgreeTo والذي يحدد عنوان URL يتم تحميل المحتوى منه في كل مرة تُفتح فيها الإضافة داخل Outlook عبر iframe حيث تمكن المهاجم من الاستيلاء على النطاق المرتبط بالخدمة outlook-one.vercel.app بعد حذف الاستضافة الأصلية الخاصة بالمطور ثم استبدل المحتوى بصفحة تسجيل دخول مزيفة تحاكي Microsoft Login.

عند إدخال الضحية بياناته يتم سرقة كلمات المرور وإرسالها عبر Telegram Bot API ثم إعادة توجيه المستخدم إلى صفحة تسجيل الدخول الحقيقية لإخفاء عملية التصيد ما يجعل الاختراق يبدو طبيعياً دون إثارة الشكوك.

الخطورة الأكبر أن إضافة AgreeTo كانت تمتلك صلاحيات ReadWriteItem داخل Outlook وهي صلاحيات تسمح بقراءة الرسائل وتعديلها داخل البريد الإلكتروني ما يعني أن المهاجم كان يمكنه نظرياً سحب محتوى البريد بالكامل أو تنفيذ سكربتات JavaScript للتجسس وجمع البيانات دون علم المستخدم وليس فقط سرقة بيانات تسجيل الدخول.

الهجوم كشف نقطة ضعف هيكلية في طريقة عمل Office Add-ins حيث يتم اعتماد الإضافة مرة واحدة عند نشرها في Microsoft Partner Center لكن المحتوى الفعلي يتم تحميله لاحقاً من خوادم المطور في كل مرة تُستخدم فيها الإضافة دون مراقبة مستمرة لما يتم عرضه فعلياً ما يسمح لأي جهة تستولي على النطاق لاحقاً بتغيير المحتوى وتنفيذ هجمات.

الباحثون أكدوا أن هذه الحادثة امتداد لنمط هجمات ظهر سابقاً في Browser Extensions وحزم npm وأدوات IDE حيث يتم استغلال مشاريع مهجورة أو نطاقات منتهية الصلاحية داخل قنوات موثوقة لنشر برمجيات خبيثة تحت غطاء تطبيقات شرعية.

التوصيات الأمنية تضمنت ضرورة إعادة فحص الإضافات بشكل دوري عند تغير المحتوى المرتبط بالنطاق والتحقق من ملكية الدومين المرتبط بالإضافة بشكل مستمر وإزالة الإضافات غير المحدثة لفترات طويلة مع مراقبة المحتوى الذي يتم تحميله فعلياً بعد الموافقة الأولى على الإضافة داخل المتجر بينما لم تصدر Microsoft تعليقاً رسمياً حتى الآن حول الحادثة.