“A Microsoft analisa o manifesto, assina-o e lista o suplemento em sua loja. Mas o conteúdo real – a interface do usuário, a lógica, tudo com o qual o usuário interage – é obtido ao vivo do servidor do desenvolvedor sempre que o suplemento é aberto”, disseram os pesquisadores da Koi Security.
URL órfão
Ao capturar o subdomínio abandonado, o invasor obteve o controle de qualquer URL apontada no manifesto original. Este conteúdo foi substituído por um novo URL que aponta para um kit de phishing que inclui uma página falsa de login da Microsoft para coleta de senhas, um script de exfiltração e um redirecionamento. O manifesto original também concedia ao invasor permissão para ler e modificar e-mails.
“Eles não enviaram nada à Microsoft. Eles não foram obrigados a passar por nenhuma revisão. Eles não criaram uma listagem de lojas. A listagem já existia – revisada pela Microsoft, assinada pela Microsoft, distribuída pela Microsoft. O invasor apenas reivindicou uma URL órfã e a infraestrutura da Microsoft fez o resto”, disse Koi Security.
Fonte: Computer World
