Giriş
Microsoft Outlook için geliştirilmiş AgreeTo eklentisi, siber saldırganlar tarafından ele geçirilerek 4,000’den fazla Microsoft hesap bilgisi çalan bir kimlik avı kitine dönüştürüldü. Bu olay, resmi bir platformda bulunan eklentilerin bile güvenlik açıkları barındırabileceğini açıkça gözler önüne seriyor.
Saldırı Nasıl Çalışıyor?
Eski bir toplantı planlama aracı olarak yayımlanan AgreeTo eklentisi, bağımsız bir geliştirici tarafından oluşturulmuş ve Aralık 2022’den beri Microsoft Office Eklenti Mağazası’nda yer alıyordu. Eklenti, bir ara sunucuda (outlook-one.vercel.app) barındırılan içeriği yüklemek üzere URL’ler kullanarak çalışıyordu. Ancak mevcut kullanıcı tabanına rağmen, geliştirici projeyi bırakmıştı.
Bu durumdan faydalanan bir saldırgan, terkedilmiş URL’yi ele geçirerek sahte bir Microsoft oturum açma sayfası, şifre toplama sayfası ve yönlendirme scripti geliştirmiştir. Kullanıcılar, eklentiyi açtığında gerçek Microsoft giriş sayfası yerine bu sahte sayfaya yönlendirildiler ve girdikleri bilgiler bir Telegram botu aracılığıyla saldırganlara aktarıldı.
Etkilenen Sistemler
Bu siber saldırı, özellikle Microsoft Outlook kullanıcılarını hedef almaktadır. Eklentinin kötüye kullanımında en önemlisi, ReadWriteItem izinlerinin korunmasıdır; bu, saldırganın kullanıcı e-postalarını okuma ve değiştirme yeteneği sağlıyordu, ancak bu tür bir kullanıma dair herhangi bir doğrulanmış etkinlik gözlemlenmedi.
Çözüm ve Korunma
- AgreeTo eklentisini Outlook’tan derhal kaldırın.
- Microsoft hesap şifrelerinizi hemen resetleyin.
- Sosyal mühendislik saldırılarına karşı daha dikkatli olun ve giriş yapmadığınız yerlerde bilgi paylaşımından kaçının.
Koi Security’nin araştırmaları, saldırganın bu siber saldırıyı inşa edip uygulamak için birden fazla dağınık kimlik avı kiti kullandığını göstermektedir. Hiçbir kargo, Microsoft’un resmi mağazasında barındırılan ilk kötü amaçlı eklenti niteliği taşımıyor. Bu tür tehditlerin artış gösterdiği günümüzde, kullanıcıların dikkatli olmaları ve düzenli olarak hesap bilgilerini güncellemeleri kritik öneme sahiptir.
Aksiyon
Eğer hâlâ AgreeTo eklentisine sahipseniz, bunu derhal kaldırın ve tüm şifrelerinizi değiştirin. Ayrıca, eklentiye dair verilerinize, hesaplarınıza ve tarayıcı geçmişinize dikkat edin. Herhangi bir şüpheli aktivite tespit ettiğinizde, gereken önlemleri alın.
