Hack Alerta

Add-in da Microsoft Store para Outlook é sequestrado e rouba 4.000 contas

Por Redação Hack Alerta Publicado em 11/02/2026 20:00 Riscos e Ameaças Tempo de leitura: 4 min

O add-in 'AgreeTo' para Outlook distribuído pela Microsoft Store foi comprometido e transformado em um kit de phishing que resultou no furto de mais de 4.000 credenciais de contas Microsoft, segundo o BleepingComputer. A matéria não detalha o mecanismo técnico do sequestro nem indica lista de organizações afetadas; equipes de segurança devem priorizar revisão de logs, aplicar MFA resistente a phishing e monitorar comunicados oficiais.

Add-in da Microsoft Store para Outlook é sequestrado e rouba 4.000 contas

Um add-in distribuído pela Microsoft Store para o Outlook — identificado como "AgreeTo" — foi comprometido e transformado em um kit de phishing que resultou no furto de mais de 4.000 credenciais de contas Microsoft, segundo reportagem do BleepingComputer.

O que se sabe

De acordo com a apuração de Bill Toulas para o BleepingComputer, o add-in AgreeTo, disponível via Microsoft Store para uso dentro do Outlook, foi adulterado e usado para direcionar vítimas a páginas de phishing com o objetivo de capturar credenciais. A publicação afirma que mais de 4.000 contas Microsoft foram comprometidas pelo esquema.

Vetor e modus operandi

Informações públicas disponíveis na matéria indicam que o componente legítimo (o add-in) foi reaproveitado como um kit de phishing — ou seja, o software passou a servir como vetor para a entrega de páginas ou fluxos fraudulentos que coletam credenciais. A reportagem não detalha, porém, o mecanismo técnico exato do sequestro (por exemplo, se houve comprometimento do pipeline de publicação na Microsoft Store, credenciais de desenvolvedor expostas, abuso da funcionalidade do add-in ou ataque de supply chain).

Evidências e limitações dos dados

  • Fonte primária: BleepingComputer (reportagem de Bill Toulas).
  • Dado quantificado: "mais de 4.000" contas Microsoft comprometidas, conforme a reportagem.
  • Informações que não foram publicadas na matéria consultada: cronologia detalhada do incidente, lista de organizações afetadas, se houve acesso a dados além de credenciais, confirmação oficial da Microsoft, e indicadores de comprometimento (IoCs) compartilháveis.

"O AgreeTo add-in for Outlook has been hijacked and turned into a phishing kit that stole more than 4,000 Microsoft account credentials," reporta Bill Toulas no BleepingComputer.

Impacto e setores em risco

O impacto imediato é o roubo de credenciais Microsoft, que pode resultar em acesso a e-mails, Teams, OneDrive e outros serviços corporativos vinculados à conta comprometida. Contas corporativas com privilégios administrativos representam risco ampliado de movimento lateral e exfiltração. A matéria não indica, contudo, quais segmentos (público, financeiro, saúde, tecnologia) foram mais atingidos.

Mitigações e recomendações práticas

  • Revisar telemetria e logs de autenticação em ambientes Microsoft 365/Office 365 para detecção de logins anômalos e de locais/endereços IP incomuns.
  • Forçar reautenticação e rotação de credenciais para contas potencialmente afetadas; aplicar bloqueio de sessões ativas quando houver suspeita.
  • Habilitar políticas de Conditional Access e exigir MFA robusto (preferindo métodos phishing‑resistant quando possível, como FIDO2 ou autenticação baseada em certificados).
  • Impor validações de segurança para add-ins aprovados: revisar permissões requeridas, comportamento de redirecionamento e origem de atualizações.
  • Monitorar comunicados oficiais da Microsoft e da Microsoft Store para possíveis ações de remoção do add-in ou publicações de indicators of compromise (IoCs).

Relevância para CISOs e operações de segurança

Para times de segurança, o incidente reforça a necessidade de vetar aceitação cega de extensões e add-ins mesmo quando distribuídos por lojas oficiais. Fluxos de provisionamento de software e políticas de enterprise app consent devem ser auditados. Investigações de compromissos de identidade devem priorizar análise de logs de Conditional Access, MFA falhado/forçado, e fluxos de consentimento OAuth que possam permitir persistência.

O que falta e próximos passos esperados

A reportagem consultada não traz confirmação da Microsoft sobre a origem do comprometimento nem detalhes técnicos (IoCs, domínios de phishing, métodos de entrega). Espera‑se que a Microsoft ou autoridades de segurança publiquem esclarecimentos, medidas de remoção na Store e orientações para clientes afetados. Em falta dessas confirmações, recomenda‑se que equipes tratem a informação como incidente concreto de credenciais exfiltradas e adotem as mitigaçãoes listadas até que novos dados sejam divulgados.

Conclusão

O uso de add-ins legítimos como vetor para phishing destaca a sofisticação e a criatividade dos atacantes ao explorar canais de distribuição confiáveis. Embora o número citado — mais de 4.000 contas — indique impacto mensurável, a falta de detalhes técnicos públicos limita a avaliação completa do alcance e das consequências. Organizações devem agir preventivamente no controle de extensões, fortalecer autenticação e monitorar sinais de comprometimento nas contas Microsoft.

Baseado em publicação original de BleepingComputer
Tags: #microsoft #outlook #add-in #phishing #credential-theft #agree-to #office-365 #exchange #security
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar