Editor Top
«Microsoft revisa el manifiesto, lo firma y lista el complemento en su tienda. Pero el contenido real (la interfaz de usuario, la lógica, todo con lo que interactúa el usuario) se recupera en vivo desde el servidor del desarrollador cada vez que se abre el complemento», dijeron los investigadores de Koi Security.
URL huérfana
Al capturar el subdominio abandonado, el atacante obtuvo el control de cualquier URL a la que apuntara el manifiesto original. Este contenido fue reemplazado por una nueva URL que apunta a un kit de phishing que comprende una página de inicio de sesión falsa de Microsoft para la recopilación de contraseñas, un script de exfiltración y una redirección. El manifiesto original también otorgaba permiso al atacante para leer y modificar correos electrónicos.
«No enviaron nada a Microsoft. No se les pidió que pasaran ninguna revisión. No crearon una lista de tiendas. La lista ya existía: revisada por Microsoft, firmada por Microsoft, distribuida por Microsoft. El atacante simplemente reclamó una URL huérfana y la infraestructura de Microsoft hizo el resto», dijo Koi Security.
