O perigo escondido onde menos se espera, na loja oficial da Microsoft. Um caso recente envolvendo o suplemento AgreeTo mostrou que nem sempre um aplicativo disponível em um marketplace confiável está livre de riscos.
O complemento, que por anos funcionou como uma ferramenta legítima de agendamento para o Outlook, foi sequestrado por cibercriminosos e transformado em um sofisticado esquema de phishing. O resultado foi alarmante, cerca de 4.000 contas comprometidas, além da possível exposição de dados financeiros e informações sensíveis.
O episódio acende um alerta importante sobre a segurança no Microsoft Marketplace e evidencia uma realidade desconfortável: quando desenvolvedores abandonam projetos sem encerrar corretamente sua infraestrutura, abrem portas para ataques silenciosos.
Mais do que um incidente isolado, o caso reforça a necessidade de vigilância constante, mesmo ao instalar ferramentas consideradas “oficiais”.
O caso AgreeTo: De ferramenta útil a kit de phishing
Lançado em 2022, o AgreeTo era um suplemento voltado para simplificar o agendamento de reuniões dentro do Outlook. A proposta era prática e rapidamente conquistou usuários que buscavam produtividade no dia a dia.
O problema começou quando o desenvolvedor deixou de manter parte da estrutura do projeto, incluindo uma URL hospedada na Vercel que permanecia vinculada ao produto ativo no marketplace.
Esse tipo de descuido é mais perigoso do que parece. Quando um domínio ou endereço web expira, qualquer pessoa pode registrá-lo novamente. Foi exatamente isso que os invasores fizeram.
Após assumir o controle da URL, os criminosos passaram a distribuir uma interface maliciosa através do próprio suplemento. Para o usuário, tudo parecia normal. Afinal, o aplicativo continuava listado como confiável dentro da loja oficial.
Na prática, o AgreeTo havia se tornado um kit de phishing no AgreeTo, operando sob a aparência de legitimidade.
Como o ataque funcionou dentro do Outlook
O sucesso do golpe não foi resultado apenas de um erro humano. Ele também revelou uma possível vulnerabilidade Outlook 2026, relacionada ao modelo de validação de suplementos.
A falha no modelo de verificação da Microsoft (o arquivo de manifesto)
Suplementos do Outlook funcionam com base em um arquivo chamado manifesto, responsável por apontar para os servidores que hospedam a interface do aplicativo.
O problema é que, após aprovado, esse arquivo nem sempre passa por verificações contínuas. Assim, se o endereço vinculado mudar de mãos, o suplemento pode continuar operando sem levantar suspeitas.
Na prática, foi como trocar o motorista de um carro em movimento sem que os passageiros percebessem.
Esse cenário levanta questionamentos importantes sobre a curadoria e o monitoramento de aplicativos dentro do marketplace.
A interface falsa: Como o phishing se escondia na barra lateral
Depois de assumir o domínio, os criminosos criaram uma tela de login extremamente convincente.
Ela aparecia na barra lateral do Outlook, com identidade visual compatível e sem sinais óbvios de fraude. O usuário era solicitado a inserir credenciais da conta Microsoft para continuar utilizando o serviço.
Como o pedido surgia dentro de um ambiente confiável, a chance de desconfiança caía drasticamente.
Esse tipo de ataque explora um princípio clássico da engenharia social: quanto menor o atrito e maior a familiaridade do ambiente, maiores as taxas de sucesso.
Exfiltração via Telegram: O caminho dos dados roubados
Uma vez digitadas, as credenciais eram enviadas automaticamente para os operadores do golpe.
Relatórios de segurança indicam que os dados foram exfiltrados via Telegram, uma tática cada vez mais comum entre cibercriminosos por oferecer agilidade e relativo anonimato.
Isso permitia que as informações fossem utilizadas quase em tempo real, seja para invasões diretas, golpes financeiros ou revenda em fóruns clandestinos.
O impacto e os riscos para o usuário
O número de vítimas chama atenção, mas o verdadeiro risco está na profundidade do acesso concedido.
Com aproximadamente 4.000 perfis roubados, os invasores podem ter obtido:
- Dados pessoais
- Conversas corporativas
- Informações bancárias
- Respostas a e-mails sensíveis
- Possíveis detalhes de cartões de crédito
Outro fator crítico foi a permissão ReadWriteItem, que permite leitura e escrita dentro da caixa de e-mails.
Na prática, isso abre espaço para ataques ainda mais perigosos, como:
- Envio de mensagens fraudulentas a contatos confiáveis
- Alteração de registros importantes
- Espionagem corporativa
- Golpes de redefinição de senha
Ou seja, o dano potencial vai muito além da conta inicial comprometida.
O incidente também reforça uma verdade incômoda: confiar apenas no selo “oficial” já não é suficiente para garantir proteção total.
O que fazer se você instalou o suplemento
Se você utilizou o AgreeTo recentemente, agir rápido pode evitar prejuízos maiores.
1. Remova o suplemento imediatamente: Acesse as configurações do Outlook e desinstale qualquer extensão suspeita.
2. Troque sua senha da conta Microsoft: Crie uma senha forte, única e que não seja usada em outros serviços.
3. Ative a autenticação em dois fatores (2FA): Essa camada extra reduz drasticamente o risco de acesso indevido.
4. Revise atividades recentes: Verifique logins desconhecidos, e-mails enviados automaticamente e alterações de segurança.
5. Atualize senhas de serviços vinculados: Especialmente bancos, plataformas corporativas e redes profissionais.
6. Avise sua equipe de TI (se for ambiente corporativo): Ataques como esse costumam se espalhar rapidamente dentro de organizações.
A resposta rápida costuma ser o principal diferencial entre um susto e um prejuízo real.
Conclusão e o futuro da segurança em Marketplaces
O episódio do suplemento do Outlook roubando contas mostra que até ecossistemas consolidados precisam evoluir em seus processos de verificação.
Marketplaces oficiais continuam sendo mais seguros do que fontes desconhecidas, mas isso não elimina a necessidade de auditorias constantes, monitoramento de domínios vinculados e políticas mais rígidas para aplicativos abandonados. Para os usuários, fica a lição mais importante: segurança digital não deve ser passiva.
Revise regularmente suas extensões, desinstale o que não usa e desconfie de qualquer solicitação de login inesperada, mesmo dentro de plataformas confiáveis.
A combinação de atenção, boas práticas e ferramentas de proteção ainda é a melhor defesa contra ameaças cada vez mais sofisticadas.
