Pesquisadores de cibersegurança identificaram o primeiro add-in malicioso do Microsoft Outlook em operação, denominado AgreeToSteal. O ataque, classificado como um ataque à cadeia de suprimentos, ocorreu quando um invasor reivindicou um domínio associado a um add-in legítimo abandonado, criando uma página de login falsa da Microsoft e roubando mais de 4.000 credenciais. O add-in AgreeTo, que permitia a integração de calendários, foi abandonado em 2022, e o invasor aproveitou a falta de monitoramento contínuo do conteúdo do add-in para implantar um kit de phishing. A vulnerabilidade reside na forma como os add-ins do Office funcionam, onde o conteúdo é carregado em tempo real a partir de um URL que pode ser alterado após a aprovação inicial. A Koi Security, responsável pela descoberta, alerta que a falta de reavaliação e monitoramento contínuo de add-ins pode permitir que ataques semelhantes ocorram em outros marketplaces. A empresa recomenda que a Microsoft implemente revisões periódicas e verifique a propriedade dos domínios associados aos add-ins para mitigar esses riscos.
Fonte: https://thehackernews.com/2026/02/first-malicious-outlook-add-in-found.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
12/02/2026 • Risco: ALTO
PHISHING
Primeiro add-in malicioso do Microsoft Outlook é descoberto
RESUMO EXECUTIVO
O ataque ao add-in AgreeTo destaca a necessidade de monitoramento contínuo de add-ins do Office, pois a falta de reavaliação permite que conteúdos maliciosos sejam servidos a partir de URLs previamente aprovados. A exploração deste vetor de ataque pode resultar em sérias consequências para a segurança das informações e conformidade legal.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao roubo de dados e à violação de segurança.
Operacional
Roubo de mais de 4.000 credenciais de usuários.
Setores vulneráveis
['Setor financeiro', 'Setor de tecnologia', 'Setor de serviços']
📊 INDICADORES CHAVE
Mais de 4.000 credenciais roubadas.
Indicador
O add-in foi abandonado em dezembro de 2022.
Contexto BR
O domínio foi reivindicado após a exclusão do deployment do desenvolvedor.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há add-ins instalados que não foram atualizados recentemente.
2
Remover add-ins suspeitos e implementar autenticação multifator para usuários.
3
Monitorar continuamente as permissões de add-ins e realizar auditorias regulares de segurança.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das credenciais dos usuários e a vulnerabilidade de add-ins que podem ser explorados por atacantes.
⚖️ COMPLIANCE
Implicações na LGPD, especialmente em relação ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
