哈希游戏- 哈希游戏平台- 哈希游戏官方网站

　　此次攻击的发生，核心源于微软 Office 插件的底层运行机制缺陷。与传统的本地安装代码不同，Office 插件本质上是通过加载远程 URL 在 iframe 中运行，微软仅在插件提交时对其 XML 清单文件进行审核并签名，后续便不再对 URL 指向的实际内容进行任何检查。整个过程既无静态包审计，也无哈希验证，URL 控制权的变更会直接改变插件的运行内容，且插件被授予的权限不会随内容的变更而失效。这一机制让攻击者有机可乘，也让微软的官方审核体系沦为 “一次性门槛”。

　　整个过程中，攻击者无需向微软提交任何内容，也无需通过任何二次审核，直接利用微软已签名的插件清单，就让恶意内容在 Outlook 的可信侧边栏中顺利运行。当受害者打开这款看似合法的插件时，看到的并非会议调度界面，而是以假乱真的微软登录页，在输入邮箱和密码后，相关信息会与受害者的 IP 地址一起被 JavaScript 脚本收集，通过 Telegram Bot API 直接发送给攻击者。随后页面会无缝跳转到真实的微软登录页，受害者往往会误以为只是正常的重新登录，全程对信息被盗毫无感知。

　　这起攻击的规模与攻击者的专业性，远超普通的钓鱼行为。因攻击者的信息泄露渠道防护极为薄弱，Koi Research 成功攻破并恢复了完整的被盗数据，确认超 4000 名用户遭受损失，被盗信息不仅包括微软账户的邮箱和密码，还涵盖信用卡号、CVV、PIN 码、银行安全答案等核心金融信息。经调查，该攻击者并非个人，而是一个专业的钓鱼团伙，其运营着至少 12 个针对不同品牌的钓鱼工具包，涉及加拿大的互联网服务提供商、银行、网页邮箱等多个领域，AgreeToSteal 只是其众多攻击分发渠道中的一个。截至报告发布时，攻击者仍在主动测试被盗的用户凭证，攻击活动持续发生，每小时都有新的受害者出现。

　　针对此次 AgreeToSteal 攻击事件，已采取了一系列处置行动：公布了攻击的核心指标（IOCs），包括钓鱼域名 outlook-one.vercel [.] app、插件 ID WA200004949；分别向微软、Vercel、Telegram 提交滥用报告，要求下架恶意插件、关停钓鱼域名，并封禁攻击者的机器人和账户；同时尽可能通知了可联系到的受影响用户，提醒其及时修改密码、保护金融信息。但此次事件带来的行业思考，却远未结束。