Pratite nas preko RSS-aAgreeToSteal: otkriven prvi zlonamerni Outlook dodatak koji je ukrao više od 4.000 kredencijala
Vesti, 12.02.2026, 10:00 AM
Istraživači bezbednosti otkrili su prvi poznati zlonamerni dodatak za Microsoft Outlook koji je distribuiran preko Microsoftove prodavnice. Incident je detaljno opisala kompanija Koi Security, a napad je dobio naziv AgreeToSteal, po legitimnom Outlook dodatku AgreeTo, koji je prvobitno služio za povezivanje različitih kalendara na jednom mestu i deljenje dostupnosti putem imejla. Dodatak je poslednji put ažuriran u decembru 2022. godine.
Office dodaci funkcionišu tako što manifest fajl sadrži URL sa kog se sadržaj učitava u realnom vremenu svaki put kada se dodatak otvori unutar aplikacije. Upravo tu leži slabost sistema.
U slučaju AgreeTo, manifest je pokazivao na domen hostovan na Vercelu. Nakon što je originalni programer napustio projekat i obrisao svoju Vercel implementaciju, domen je postao dostupan za preuzimanje.
Nepoznati napadač je zatim preuzeo domen i postavio phishing stranicu koja je prikazivala lažnu Microsoft prijavu. Uneti podaci su presretani i slati putem Telegram Bot API-ja, dok su žrtve potom preusmeravane na legitimnu stranicu za prijavu kako se ne bi izazvala sumnja.
Prema procenama, ukradeno je više od 4.000 korisničkih kredencijala.
Za razliku od tradicionalnog softvera, Office dodaci ne isporučuju statički paket koda. Manifest samo deklarativno navodi URL, a sadržaj koji se sa tog URL-a učita izvršava se unutar Outlook okruženja.
U ovom slučaju, Microsoft je odobrio manifest 2022. godine, ali nije postojao mehanizam kontinuiranog nadzora nad sadržajem koji se kasnije servira sa navedenog URL-a.
Dodatni rizik predstavlja činjenica da je dodatak imao „ReadWriteItem“ dozvole, što omogućava čitanje i izmenu korisničkih imejlova. Istraživači upozoravaju da je napad mogao imati daleko ozbiljnije posledice, uključujući prikriveno izvlačenje sadržaja poštanskog sandučeta.
Koi Security ističe da se radi o obrascu napada koji je već viđen kod ekstenzija pregledača, npm paketa i IDE dodataka — jednom odobreni projekti ostaju implicitno pouzdani, iako se sadržaj može promeniti.
Sličan rizik postoji i na drugim tržištima dodataka.
Istraživači preporučuju nekoliko mera: ponovno pregledanje dodataka kada se promeni sadržaj referentnog URL-a, proveru vlasništva nad domenom kako bi se utvrdilo da li je promenio vlasnika, automatsko označavanje ili uklanjanje dugo neažuriranih dodataka i transparentnije prikazivanje broja instalacija.
Izdvojeno
Microsoft upozorava: WhatsApp poruke šire malver na Windows računarima
Microsoft Defender Security Research Team upozorava na novu kampanju socijalnog inženjeringa koja od kraja februara 2026. cilja korisnike putem Whats... Dalje
Google objavio hitnu zakrpu za zero-day ranjivost koja se aktivno koristi u napadima
Google je objavio hitno bezbednosno ažuriranje za Chrome kako bi zakrpio kritičnu ranjivost „nultog dana“ koja se već aktivno koristi u... Dalje
Propust u ChatGPT-u omogućavao curenje razgovora korisnika
Istraživači iz Check Point Research otkrili su ranjivost u ChatGPT-ufchat koja je mogla omogućiti napadačima da izvuku osetljive podatke iz razgov... Dalje
Evropska komisija potvrdila sajber napad: hakeri tvrde da su ukrali 350 GB podataka
Hakerska grupa ShinyHunters objavila je da je kompromitovala sisteme Evropske komisije i došla do više od 350 GB podataka. Tvrdnja se prvo pojavila ... Dalje
WhatsApp za mlađe od 13: novi nalozi pod nadzorom roditelja
WhatsApp je predstavio novu funkciju dizajniranu posebno za decu mlađu od 13 godina, uvodeći naloge kojima upravljaju roditelji sa ciljem bezbednije... Dalje
Pratite nas
Nagrade
Prijatelji
