专家警告说,黑客盯上了一个合法但没人维护的Outlook插件项目,并把它改造成了一套完整的钓鱼工具。

安全研究人员Koi说,他们发现了一个叫AgreeTo的Outlook插件,是个会议日程安排工具,在邮件服务商那里用户还挺多的。

这个日程工具是一个独立开发者做的,2022年12月上架了微软Office加载项商店。但后来开发者就不管了,结果指向插件内容的那个URL被坏人给抢了。他们用这个URL植入了一个钓鱼工具包,这样用户一打开插件,就会看到一个假的微软登录页面。

微软介入

微软介入

Koi的研究人员成功进入了攻击者的数据外泄通道(用的是Telegram机器人接口),并发现超过4000个微软账户被盗。更麻烦的是,黑客还拿到了别人的信用卡号和银行安全问题答案,这足够他们搞诈骗转账了。

他们还发现这是一场持续的攻击行动,坏人在试这些偷来的账号密码,看哪些还能用、哪些以后有用。

微软已收到警报,公司现在已经从自己的仓库里移除了这个加载项。

Koi还说,这次攻击的幕后黑手还搞了“至少十几个”别的钓鱼工具包。这些工具包针对互联网服务提供商、银行和网络邮件提供商,但我们不知道它们和那个Outlook AgreeTo的比起来,到底有多成功。

我们所知道的是,这是第一款在微软官方应用商店上发现的恶意软件,也是第一个在真实环境中被发现的恶意Outlook插件,BleepingComputer表示。

建议用户立刻把插件从他们的Outlook里删掉,并重置所有密码。密切关注银行账单中任何可疑交易也是个好主意。