Gli attacchi alla supply chain non iniziano quasi mai con un malware dichiaratamente malevolo. Molto più spesso prendono forma nel silenzio, quando un progetto viene abbandonato, le community smettono di monitorarlo e nessuno si accorge che quello che era un componente legittimo è diventato un punto d’ingresso perfetto per un attaccante.
Gli esperti di Koi Security hanno scoperto il componente aggiuntivo dannoso AgreeTo per Outlook. Questo strumento di pianificazione riunioni, un tempo legittimo, è stato hackerato e trasformato in un’applicazione di phishing utilizzata per rubare gli account Microsoft.
È stato sviluppato da un editore indipendente e il componente aggiuntivo è disponibile nel Microsoft Office Add-in Store da dicembre 2022. I componenti aggiuntivi di Office sono URL che rimandano a contenuti scaricati nei prodotti Microsoft dal server dello sviluppatore.
Advertising
Nel caso di AgreeTo, lo sviluppatore ha utilizzato un URL ospitato da Vercel (outlook-one.vercel[.]app), ma ha successivamente abbandonato il progetto, nonostante il componente aggiuntivo avesse già costruito una base di utenti considerevole.
Alla fine, lo sviluppo abbandonato è stato utilizzato dagli aggressori, che hanno intercettato l’URL e vi hanno installato un kit di phishing.
Vale la pena notare che non vengono eseguiti ulteriori controlli dopo l’approvazione di un componente aggiuntivo nello store. Quando si invia inizialmente una richiesta, l’azienda controlla solo il file manifest e lo firma. AgreeTo ha superato questo controllo molto tempo fa e l’interfaccia e i contenuti con cui l’utente ha interagito sono stati scaricati dal server dello sviluppatore, che è stato successivamente compromesso.
Come spiegano i ricercatori, gli aggressori hanno implementato una falsa pagina di accesso all’account Microsoft, un modulo di raccolta password, uno script di estrazione dati e un reindirizzamento sull’URL dirottato. Di conseguenza, quando l’utente apriva AgreeTo in Outlook, nella barra laterale appariva una falsa pagina di accesso Microsoft invece della consueta interfaccia.
Questo poteva essere facilmente scambiato per una richiesta di autorizzazione autentica. Tutte le credenziali inserite venivano trasmesse agli aggressori tramite l’API del bot di Telegram, dopodiché la vittima veniva reindirizzata alla vera pagina di accesso.
Advertising
Gli esperti sono riusciti ad accedere al canale di esfiltrazione dei dati, dopodiché si è scoperto che più di 4.000 account Microsoft, nonché numeri di carte di credito e risposte alle domande di sicurezza, erano stati rubati tramite AgreeTo.
È stato inoltre notato che il componente aggiuntivo manteneva le autorizzazioni ReadWriteItem, che consentivano la lettura e la modifica delle e-mail degli utenti, sebbene non fosse stata registrata alcuna attività del genere.
Secondo gli esperti, l’autore di questo attacco controlla almeno una dozzina di altri kit di phishing che prendono di mira provider di servizi Internet, banche e servizi di posta elettronica. Inoltre, al momento dello studio, l’hacker stava verificando attivamente le credenziali aggiornate.
Koi Security sottolinea che si tratta del primo malware rilevato direttamente nello store ufficiale di Microsoft e del primo componente aggiuntivo dannoso di Outlook utilizzato in attacchi reali.
AgreeTo è rimasto nello store fino all’11 febbraio 2026, quando Microsoft lo ha rimosso. Si consiglia vivamente a chi ha ancora installato il componente aggiuntivo di disinstallarlo immediatamente e di cambiare la password.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza:Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.