Ataque explorou uma dependência remota abandonada do add-in AgreeTo para servir uma página falsa de autenticação dentro do fluxo de uso do Outlook.
| Componente | Add-in AgreeTo para Microsoft Outlook, distribuído pelo Microsoft Marketplace e dependente de conteúdo carregado em tempo real a partir de uma URL externa declarada no manifesto. |
| Vetor | Tomada de uma implantação Vercel abandonada apontada pelo manifesto do add-in, permitindo servir uma página falsa de login Microsoft quando o add-in era aberto. |
| Impacto | Captura confirmada de mais de 4.000 credenciais Microsoft inseridas por usuários; risco adicional condicionado às permissões ReadWriteItem, sem confirmação de coleta de conteúdo de caixas postais no material analisado. |
| Prioridade | Remover o add-in AgreeTo de ambientes ainda expostos, redefinir senhas de contas potencialmente afetadas e revisar autenticações Microsoft associadas ao período de uso. |
| Artefatos | A URL remota associada ao manifesto apontava para outlook-one.vercel[.]app, que passou a hospedar o fluxo falso de autenticação. |
| Mitigação | O add-in deixou de estar disponível no Microsoft Marketplace em 12 de fevereiro de 2026, mas instalações existentes ainda exigem remoção local e revisão de credenciais. |
Um add-in do Microsoft Outlook chamado AgreeTo foi abusado em uma campanha de roubo de credenciais após a infraestrutura remota usada pelo produto ficar abandonada. O add-in era legítimo em sua origem e tinha como finalidade integrar calendários e compartilhar disponibilidade por e-mail, mas seu modelo de execução dependia de uma URL externa declarada em manifesto. Quando a implantação original deixou de existir, essa referência passou a poder ser reivindicada por outro operador. O atacante aproveitou essa lacuna para colocar no mesmo endereço uma página falsa de autenticação Microsoft, capturando credenciais digitadas por usuários que ainda interagiam com o add-in.
O caso é relevante porque não depende de uma atualização maliciosa tradicional entregue como pacote estático. Em add-ins do Office, o manifesto aprovado declara onde o conteúdo deve ser carregado, e esse conteúdo é buscado em tempo real quando o add-in é aberto dentro do aplicativo. Isso cria uma superfície diferente da instalação convencional: a revisão inicial pode ter validado um componente benigno, mas o código e a interface servidos posteriormente pela URL podem mudar se a infraestrutura externa sair do controle do desenvolvedor original. O incidente recebeu o nome AgreeToSteal e resultou na captura de mais de 4.000 credenciais Microsoft.
A atividade também expõe um problema operacional em marketplaces que aceitam extensões, add-ins ou plugins baseados em dependências dinâmicas remotas. O desenvolvedor original não precisa ter agido de forma maliciosa para que o risco se materialize; basta que o projeto seja abandonado, que a URL permaneça referenciada pelo manifesto e que a plataforma não detecte alteração de posse ou mudança substancial no conteúdo servido. No caso do AgreeTo, o add-in havia sido atualizado pela última vez em dezembro de 2022, e a implantação Vercel relacionada teria se tornado abandonada em torno de 2023.
O mecanismo explorado começa no manifesto do add-in, que indicava uma URL hospedada em outlook-one.vercel[.]app. Quando o usuário abria o add-in no Outlook, o aplicativo carregava o conteúdo desse endereço em um elemento de interface embutido. Após a implantação original ser removida ou ficar sem dono efetivo, o endereço passou a ser reivindicável. O atacante assumiu essa referência e passou a entregar uma página de login falsa que imitava a autenticação Microsoft, mantendo a aparência de um fluxo esperado para o usuário final.
As credenciais digitadas na página falsa eram coletadas e enviadas por meio da API de bots do Telegram. Depois da captura, o fluxo redirecionava a vítima para a página legítima de login da Microsoft, reduzindo a chance de percepção imediata do abuso. Esse padrão combina engenharia de confiança com abuso de cadeia de suprimento: o usuário não chega ao phishing por um link externo comum, mas por um add-in já distribuído por um canal oficial e executado dentro de um contexto de trabalho sensível.
O material analisado confirma a captura de credenciais, mas não confirma exploração de caixas postais nem coleta de mensagens. Ainda assim, a configuração de permissão do add-in aumentava o risco técnico. O AgreeTo estava configurado com ReadWriteItem, permissão que pode permitir leitura e modificação de itens de e-mail pelo add-in. Em uma situação de abuso ampliado, conteúdo JavaScript servido pela URL controlada poderia tentar interagir com dados acessíveis dentro do escopo autorizado ao add-in. Esse ponto deve ser tratado como risco condicionado, não como efeito observado no incidente.
A exposição recai sobre usuários e organizações que instalaram ou mantiveram o add-in AgreeTo após a infraestrutura remota associada ao manifesto ficar fora do controle do desenvolvedor original. A superfície não é limitada ao navegador ou ao e-mail de phishing tradicional; ela envolve o próprio ambiente do Outlook e a confiança implícita depositada em extensões obtidas por marketplace. Ambientes que permitem instalação autônoma de add-ins por usuários finais, sem inventário centralizado e sem revisão periódica de permissões, ficam mais suscetíveis a manter componentes abandonados ativos por longos períodos.
O endereço remoto envolvido era uma aplicação Vercel associada ao manifesto do add-in. Como o conteúdo era carregado dinamicamente, a integridade do add-in dependia não apenas do pacote listado no marketplace, mas também da continuidade de posse e segurança do domínio ou subdomínio externo. O add-in foi removido do Microsoft Marketplace em 12 de fevereiro de 2026, mas a remoção da listagem não garante, por si só, que todas as instalações já presentes em estáções ou contas tenham sido eliminadas.
A superfície de risco também inclui políticas de consentimento e governança de aplicativos Microsoft 365. Organizações que não registram quais add-ins têm permissão para ler, modificar ou interagir com itens de correio podem ter dificuldade para diferenciar um componente legítimo abandonado de um componente ativamente abusado. Esse tipo de incidente exige inventário de add-ins, análise das permissões declaradas e correlação com autenticações recentes de contas Microsoft potencialmente expostas.
- Usuários do Outlook que instalaram o add-in AgreeTo antes de sua remoção do marketplace.
- Tenants Microsoft 365 que permitem add-ins sem revisão centralizada de permissões e origem.
- Contas Microsoft cujas credenciais foram inseridas no fluxo falso de autenticação associado ao add-in.
- Ambientes que mantêm extensões antigas baseadas em URLs externas sem validação contínua de conteúdo ou propriedade.
A investigação defensiva deve começar pelo inventário de add-ins instalados e consentimentos associados a contas Microsoft 365. O objetivo é localizar a presença do AgreeTo, identificar usuários que abriram ou interagiram com o add-in e verificar se houve autenticações suspeitas após o provável período de exposição. Como o impacto confirmado é roubo de credenciais, os sinais mais importantes estão em logs de identidade, eventos de autenticação, alterações de método de MFA, criação de sessões incomuns e acessos a recursos Microsoft a partir de localização, dispositivo ou agente de usuário destoante do padrão do usuário.
No endpoint e no proxy, a telemetria deve procurar conexões com o domínio defangado outlook-one.vercel[.]app e eventos relacionados ao carregamento do add-in dentro do Outlook. A presença desse acesso não prova, isoladamente, comprometimento de conta, mas ajuda a delimitar usuários que podem ter sido apresentados à página falsa. Em ambientes com inspeção de DNS, proxy seguro ou EDR com coleta de URL, essa consulta pode ser cruzada com horários de autenticação Microsoft e mudanças subsequentes na postura da conta.
Também é importante diferenciar sinais de phishing de sinais de abuso de caixa postal. O material analisado sustenta captura de senhas e redirecionamento para login legítimo, mas não confirma exfiltração de e-mails. Portanto, a busca em caixas postais deve focar evidências compatíveis com uso indevido de credenciais, como novas regras de encaminhamento, delegações inesperadas, consentimentos OAuth anômalos, criação de regras para ocultar mensagens e acessos incomuns ao Exchange ou Outlook. Essas verificações ajudam a identificar consequência posterior do roubo de credenciais sem presumir que ela ocorreu em todos os casos.
- Inventário de add-ins do Outlook com presença do AgreeTo e permissões associadas a
ReadWriteItem. - Logs de proxy, DNS ou EDR com acesso a
outlook-one.vercel[.]app. - Eventos de autenticação Microsoft com geolocalização, dispositivo, horário ou cliente incomum após interação com o add-in.
- Alterações de MFA, redefinições de segurança, consentimentos OAuth ou sessões persistentes criadas após possível exposição.
- Regras de caixa postal, encaminhamentos, delegações e modificações incomuns em contas que tiveram credenciais potencialmente capturadas.
A resposta deve priorizar a remoção do add-in AgreeTo de qualquer ambiente onde ele ainda esteja presente. Em paralelo, contas de usuários que utilizaram o add-in ou acessaram o domínio remoto associado devem ter senhas redefinidas e sessões revogadas. Como houve captura de credenciais Microsoft, a simples remoção do add-in não elimina o risco se a senha já tiver sido coletada. A rotação deve ser acompanhada de revisão de MFA, invalidação de tokens quando aplicável e análise de atividade pós-exposição.
Administradores Microsoft 365 devem revisar políticas de instalação de add-ins e reduzir a dependência de consentimento individual sem controle central. Add-ins que solicitam leitura ou modificação de itens de e-mail precisam passar por avaliação explícita, principalmente quando carregam conteúdo de URLs externas sob domínios que não pertencem diretamente à organização. Para componentes antigos, a ausência de atualização recente deve ser tratada como sinal de risco operacional, sobretudo quando o manifesto ainda aponta para infraestrutura de terceiros.
Em nível de governança de marketplace e ciclo de vida, o incidente mostra a necessidade de revalidação contínua. Mudança de conteúdo servido por uma URL declarada em manifesto, alteração de posse do domínio, remoção de uma implantação em plataforma de hospedagem e longos períodos sem atualização são eventos que devem acionar nova revisão ou bloqueio preventivo. Para equipes internas, a mesma lógica vale para qualquer extensão, plugin ou integração baseada em manifesto: a aprovação inicial não substitui monitoramento de dependências remotas, inventário e validação periódica do que efetivamente é executado no ambiente do usuário.
- Remover o add-in AgreeTo de instalações existentes e bloquear nova instalação por política administrativa.
- Redefinir senhas de usuários expostos, revogar sessões ativas e revisar métodos de MFA vinculados às contas.
- Correlacionar acessos ao domínio defangado com eventos de autenticação Microsoft e alterações em caixas postais.
- Revisar add-ins com permissões de leitura ou modificação de e-mail, especialmente os que dependem de conteúdo remoto dinâmico.
- Criar processo periódico para identificar add-ins abandonados, URLs externas sem posse confirmada e permissões excessivas em aplicativos de produtividade.
0 Comentários