13 de febrero de 2026

"AgreeToSteal": Detectan el Primer Complemento Malicioso en Microsoft Outlook que Roba Miles de Credenciales

"AgreeToSteal": Detectan el Primer Complemento Malicioso en Microsoft Outlook que Roba Miles de Credenciales

Investigadores de la firma Koi Security han revelado el descubrimiento del primer complemento (add-in) malicioso para Microsoft Outlook detectado en un entorno real. El ataque, bautizado como "AgreeToSteal", ha logrado comprometer más de 4,000 credenciales de Microsoft mediante una sofisticada técnica de cadena de suministro que explota el abandono de software legítimo.

El Retorno de un Complemento Olvidado

El objetivo del ataque fue AgreeTo, un complemento legítimo diseñado originalmente para ayudar a los usuarios a sincronizar calendarios y compartir disponibilidad. Según los datos técnicos, el software no se actualizaba desde diciembre de 2022.

El atacante aprovechó que el desarrollador original abandonó el proyecto y dejó caducar el dominio asociado en la plataforma Vercel (outlook-one.vercel[.]app). Al tomar control de este dominio, el criminal pudo servir contenido malicioso a través de una herramienta que aún aparecía como confiable en la tienda oficial de Microsoft.

El Mecanismo: Un "Punto Ciego" en el Marketplace

Idan Dardikman, CTO de Koi Security, explicó que el peligro radica en cómo funcionan los complementos de Office. A diferencia del software tradicional, estos no instalan un código estático, sino que utilizan un archivo "manifiesto" que apunta a una URL externa. Cada vez que el usuario abre el complemento, Outlook carga el contenido de esa URL en tiempo real.

"Microsoft firma el manifiesto una vez al ser aprobado, pero no existe un monitoreo continuo del contenido que la URL sirve después", advirtió Dardikman. En este caso, el atacante reemplazó la herramienta legítima con un kit de phishing que imitaba a la perfección la página de inicio de sesión de Microsoft.

Riesgos de Privacidad y Exfiltración por Telegram

Una vez que las víctimas ingresaban sus datos en la página falsa, las credenciales eran enviadas automáticamente al atacante a través de la API de un bot de Telegram.

Lo más preocupante para los expertos es que el complemento tenía permisos de nivel "ReadWriteItem". Esto significa que, además de robar contraseñas, los atacantes tenían la capacidad técnica para leer, modificar y exfiltrar el contenido completo de los correos electrónicos de los usuarios afectados sin que estos lo notaran.

Recomendaciones de los Expertos

Desde Koi Security sugieren que este incidente debe servir como una llamada de atención para los mercados de aplicaciones digitales. Entre las medidas propuestas se incluyen:

  • Realizar revisiones automáticas cuando el contenido de la URL de un complemento cambie drásticamente.

  • Verificar periódicamente la propiedad de los dominios vinculados a las aplicaciones.

  • Retirar de las tiendas oficiales aquellos complementos que no hayan recibido actualizaciones de seguridad en un periodo prolongado.

Por ahora, se recomienda a los administradores de sistemas revisar la lista de complementos instalados en sus organizaciones y deshabilitar cualquier herramienta que no sea estrictamente necesaria o que provenga de desarrolladores cuya actividad actual sea incierta.

Fuente: https://www.koi.ai/blog/brew-hijack-serving-malware
← Anterior Grupos de Ciberespionaje APT36 y SideCop...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Más de 60 Gigantes Tecnológicos Lanzan Parches Críticos por Vulnerabilidades "Zero-Day" y Fallos de Inyección
Grupos de Ciberespionaje APT36 y SideCopy Despliegan Campaña Multiplataforma contra Sectores Estratégicos
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio