โปรแกรมเสริม AgreeTo สำหรับ Outlook ถูกแฮ็ก และดัดแปลงให้เป็นเครื่องมือฟิชชิ่ง ซึ่งสามารถขโมยข้อมูล credentials ของบัญชี Microsoft ได้มากกว่า 4,000 บัญชี
เดิมที AgreeTo เป็นเครื่องมือจัดตารางการประชุมสำหรับผู้ใช้งาน Outlook โดยโมดูลนี้พัฒนาโดย publisher อิสระ และเปิดให้ใช้งานอยู่บน Microsoft Office Add-in Store มาตั้งแต่เดือนธันวาคม 2022
โปรแกรมเสริมของ Office นั้น โดยพื้นฐานแล้วเป็นเพียง URL ที่ชี้ไปยังเนื้อหาซึ่งถูกโหลดเข้าสู่ผลิตภัณฑ์ของ Microsoft จากเซิร์ฟเวอร์ของผู้พัฒนา ในกรณีของ AgreeTo ผู้พัฒนาใช้ URL ที่โฮสต์บน Vercel (outlook-one.vercel.app) แต่กลับละทิ้งโครงการไป ทั้งที่มีฐานผู้ใช้งานจริงแล้ว
อย่างไรก็ตาม โปรแกรมเสริมดังกล่าวยังคงปรากฏอยู่ในรายชื่อของ Microsoft Store และผู้ไม่หวังดีได้อาศัยการเข้ายึด URL ที่ไม่ได้ใช้งานแล้ว เพื่อใช้เป็นที่ตั้งสำหรับเครื่องมือฟิชชิ่ง
นักวิจัยจากบริษัท Koi ซึ่งเป็นบริษัทด้านความปลอดภัยทางด้าน supply-chain เปิดเผยว่า ผู้ไม่หวังดีที่เข้าควบคุมโปรเจกต์นี้ได้ติดตั้งหน้า Microsoft Sign-in ปลอม สำหรับเก็บรวบรวมรหัสผ่าน สคริปต์สำหรับส่งข้อมูลที่ขโมยออกไป (exfiltration script) รวมถึงหน้า redirect เพื่อทำให้กระบวนการโจมตีสมบูรณ์
ประเด็นสำคัญคือ เมื่อโปรแกรมเสริมถูกเผยแพร่บน Microsoft Store แล้ว จะไม่มีการตรวจสอบซ้ำในภายหลัง โดยในขั้นตอนการส่งโมดูล Microsoft จะตรวจสอบไฟล์ manifest และ signs เพื่อรับรองการอนุมัติเท่านั้น
สำหรับ AgreeTo นั้น ได้ผ่านการตรวจสอบ และรับรองเรียบร้อยแล้ว และมีการโหลดทรัพยากรทั้งหมด ไม่ว่าจะเป็นส่วนติดต่อผู้ใช้ และองค์ประกอบต่าง ๆ ที่ผู้ใช้โต้ตอบด้วย จากเซิร์ฟเวอร์ของผู้พัฒนา ซึ่งปัจจุบันตกอยู่ภายใต้การควบคุมของผู้ไม่หวังดีไปแล้ว
นักวิจัยจาก Koi เป็นผู้ตรวจพบการเจาะระบบในครั้งนี้ และยังสามารถเข้าถึงช่องทางที่ผู้โจมตีใช้ส่งข้อมูลที่ขโมยออกไปได้ จากการวิเคราะห์ข้อมูลในช่องทางดังกล่าว พบว่ามีข้อมูล credentials ของบัญชี Microsoft มากกว่า 4,000 รายการ นอกจากนี้ยังมีหมายเลขบัตรเครดิต และคำตอบสำหรับคำถามความปลอดภัยของบัญชีธนาคารถูกขโมยไปด้วย
โปรแกรมเสริมนี้ยังคงอยู่ในสโตร์จนถึงวันที่รายงาน ก่อนที่ Microsoft จะนำออกไป นักวิจัยจาก Koi ระบุว่า ระหว่างที่พวกเขากำลังตรวจสอบ ผู้โจมตีก็ยังทดสอบข้อมูลบัญชีที่ขโมยมาอย่างต่อเนื่อง
เมื่อผู้ใช้เปิดโปรแกรมเสริม AgreeTo ที่เป็นอันตรายใน Outlook แทนที่จะเห็นหน้าจอสำหรับจัดตารางนัดหมาย มันจะแสดงหน้าเข้าสู่ระบบ Microsoft ปลอมในแถบด้านข้างของโปรแกรม ซึ่งดูคล้ายของจริงมากจนผู้ใช้เข้าใจผิดได้ง่าย
ข้อมูลบัญชีใด ๆ ที่กรอกลงไปจะถูกส่งออกไปหาผู้โจมตีผ่าน Telegram bot API จากนั้นเหยื่อจะถูกพาไปยังหน้าเข้าสู่ระบบ Microsoft ของจริง เพื่อลดความสงสัยว่าเพิ่งถูกหลอกเอาข้อมูลไป
มีข้อมูลว่าโปรแกรมเสริมนี้ยังคงถือสิทธิ์แบบ ReadWriteItem ซึ่งเปิดทางให้สามารถอ่าน และแก้ไขอีเมลของผู้ใช้ได้ แม้จนถึงตอนนี้จะยังไม่พบหลักฐานว่าความสามารถดังกล่าวถูกนำไปใช้งานจริงก็ตาม
ทาง Koi Security ยังตรวจพบอีกว่าผู้อยู่เบื้องหลังการโจมตีไม่ได้ทำเพียงแค่นี้ แต่ยังดูแลชุดเครื่องมือฟิชชิ่งอื่น ๆ อีกอย่างน้อยสิบกว่ารายการ โดยมุ่งเป้าไปที่ผู้ให้บริการอินเทอร์เน็ต, สถาบันการเงิน และผู้ให้บริการอีเมลผ่านเว็บ
โดยปกติแล้ว Extension ที่เป็นอันตรายมักแพร่กระจายผ่านอีเมลฟิชชิ่ง หรือโฆษณาหลอกลวง แต่กรณีของ AgreeTo นั้นแตกต่างออกไป เพราะมันสามารถแทรกซึมเข้าไปอยู่บน Microsoft Marketplace อย่างเป็นทางการได้สำเร็จ ถือเป็นมัลแวร์กลุ่มแรก ๆ และเป็นโปรแกรมเสริมอันตรายตัวแรกของ Outlook ที่ตรวจพบว่ามีการใช้งานจริงเพื่อโจมตีผู้ใช้จากภายในระบบที่ดูน่าเชื่อถือ
Oren Yomtov นักวิจัยจาก Koi Security เปิดเผยกับ BleepingComputer ว่า นี่เป็นมัลแวร์ตัวแรกที่ถูกตรวจพบบน Microsoft Marketplace อย่างเป็นทางการ และเป็นโปรแกรมเสริม Outlook ที่เป็นอันตรายตัวแรกที่ตรวจพบว่ามีการใช้งานจริงในวงกว้าง
หากใครยังติดตั้ง AgreeTo ใน Outlook ควรลบโปรแกรมเสริมนี้ออกทันที และเปลี่ยนรหัสผ่านเพื่อรักษาความปลอดภัยของบัญชีตนเอง ขณะนี้ BleepingComputer ได้ติดต่อ Microsoft เพื่อสอบถามข้อมูลจากการวิจัยของ Koi แล้ว แต่ยังไม่ได้รับการตอบกลับใด ๆ
ที่มา : bleepingcomputer
You must be logged in to post a comment.