Add-in Outlook bernama AgreeTo yang tersedia di Microsoft Office Add-in Store dilaporkan telah dibajak dan diubah menjadi kit phishing untuk mencuri lebih dari 4.000 kredensial akun Microsoft.
AgreeTo awalnya merupakan tool penjadwalan rapat yang sah dan dikembangkan oleh penerbit independen. Modul ini telah tersedia di Microsoft Store sejak Desember 2022. Namun, setelah proyek tersebut ditinggalkan oleh pengembangnya, URL backend yang digunakan menjadi tidak terkelola—dan celah inilah yang dimanfaatkan pelaku.
URL Terlantar Dimanfaatkan Penyerang
Add-in Office pada dasarnya hanyalah URL yang memuat konten dari server pengembang ke dalam aplikasi Microsoft. AgreeTo menggunakan URL yang dihosting di Vercel (outlook-one.vercel.app).
Meski proyeknya ditinggalkan, add-in tetap tercantum di Microsoft Store dan tetap bisa digunakan oleh pengguna yang telah menginstalnya.
Seorang pelaku kemudian mengklaim kembali URL yang terlantar tersebut dan menanamkan kit phishing di dalamnya. Karena add-in telah disetujui sebelumnya oleh Microsoft—yang hanya memverifikasi file manifest saat pengajuan awal—tidak ada proses verifikasi lanjutan setelah publikasi.
Akibatnya, seluruh antarmuka dan sumber daya yang dimuat dari server kini berada di bawah kendali penyerang.
Halaman Login Palsu di Sidebar Outlook
Ketika pengguna membuka AgreeTo di Outlook, alih-alih melihat antarmuka penjadwalan rapat, mereka disajikan halaman login Microsoft palsu di sidebar aplikasi.
Tampilan ini sangat meyakinkan dan mudah disalahartikan sebagai prompt login resmi. Setiap kredensial yang dimasukkan korban dikirim ke pelaku melalui API bot Telegram.
Setelah itu, korban diarahkan ke halaman login Microsoft asli guna mengurangi kecurigaan.
4.000 Akun dan Data Sensitif Dicuri
Peneliti dari Koi Security yang menemukan insiden ini berhasil mengakses kanal eksfiltrasi milik pelaku. Mereka mengungkap bahwa lebih dari 4.000 akun Microsoft telah dicuri.
Selain username dan password, data lain yang ikut terekspos meliputi:
- Nomor kartu kredit
- Jawaban keamanan perbankan
- Informasi sensitif lainnya
Add-in tersebut juga memiliki izin ReadWriteItem, yang memungkinkan pembacaan dan modifikasi email pengguna, meski tidak ditemukan bukti aktivitas tersebut dilakukan.
Diduga Bagian dari Operasi Lebih Besar
Peneliti menyatakan bahwa operator di balik serangan ini mengelola setidaknya selusin kit phishing lain yang menargetkan penyedia layanan internet, bank, dan layanan webmail.
Kasus AgreeTo menjadi perhatian khusus karena diduga merupakan malware pertama yang ditemukan di Microsoft Marketplace resmi serta add-in Outlook berbahaya pertama yang terdeteksi secara nyata di ekosistem tersebut.
Microsoft telah menghapus AgreeTo dari Store setelah temuan ini dipublikasikan. Hingga saat ini, belum ada pernyataan resmi dari perusahaan terkait insiden tersebut.
Rekomendasi untuk Pengguna
Jika Anda masih memiliki add-in AgreeTo terpasang di Outlook, disarankan untuk:
- Segera menghapus add-in tersebut
- Mengganti password akun Microsoft
- Mengaktifkan autentikasi multi-faktor (MFA)
- Memantau aktivitas akun untuk mendeteksi login mencurigakan
Insiden ini menyoroti risiko rantai pasok digital (supply chain) dalam ekosistem add-in, di mana komponen yang sah dapat berubah menjadi ancaman jika infrastruktur pengembang tidak lagi dikelola.