Специалисты по кибербезопасности выявили в интернете новую фишинговую платформу, распространяемую по схеме «вредоносное ПО как услуга» (MaaS), сообщает Bleeping Computer.
Компрометация устройства жертвы происходит через установку специализированного расширения для браузера Google Chrome, которое может быть кастомизировано под требования заказчика. При определенных условиях продавец обязуется взять на себя задачу по публикации зловредного расширения в официальном магазине Chrome Web Store и гарантирует его успешное прохождение процедур проверки со стороны Google.
Эксперты компании Varonis присвоили этому инструменту кодовое имя “Stanley”. Под таким ником (в оригинальном сообщении используется кириллическое написание «Стэнли») действует пользователь на одном из хакерских форумов, отвечающий за продажу доступа к сервису, который позволяет легко запускать фишинговые кампании.
Потенциальным покупателям предлагается три уровня платной подписки, стоимость которой варьируется от 2 до 6 тысяч долларов США.
В рамках наиболее дорогого тарифа Luxe заказчик, помимо самого вредоносного расширения, получает доступ к административной веб-панели для управления атакой, а также к услуге содействия в размещении дополнения в Chrome Web Store.
По утверждению продавца, при выборе этого пакета зловредное расширение гарантированно будет опубликовано в официальном магазине Google.
Bleeping Computer запросил у Google комментарии относительно того, каким образом организаторы данного сервиса могут обеспечить публикацию вредоносного расширения в обход систем проверки. На момент публикации ответ от компании не был получен.
В декабре 2025 года CNews о компрометации расширения Trust Wallet (принадлежащего крупной криптобирже Binance) для Chrome, в результате чего злоумышленники похитили 7 миллионов долларов. Среди рассматриваемых экспертами версий произошедшего была и инсайдерская атака.
В Varonis пояснили, что Stanley способен внедрять фишинговый контент в код легитимной веб-страницы на устройстве жертвы с помощью iframe, полностью перекрывая её исходное содержимое. При этом адресная строка браузера остается неизменной, что позволяет легче ввести пользователя в заблуждение, заставив поверить, что он находится на настоящем сайте с корректным доменным именем, а не на подделке, подставленной злоумышленником.
Злоумышленники, использующие платформу Stanley, применяют дополнительный метод внедрения вредоносного расширения на компьютер жертвы — через специальный установщик, работающий скрытно. После активации данное расширение начинает функционировать в браузерах Chrome, Edge, Brave и Opera.
Администраторы, имеющие доступ к панели управления Stanley, могут изменять поведение вредоносного дополнения, а также направлять push-уведомления прямо в браузер пользователя. Это, например, позволяет перенаправлять жертву на определённые веб-страницы.
Stanley способен идентифицировать жертв по их IP-адресам и показывать различный контент в зависимости от географического местоположения.
Вредоносное расширение каждые 10 секунд связывается с командным сервером (C2) и умеет переключаться на резервную C2-инфраструктуру, что обеспечивает его работоспособность даже при сбое одного из элементов.
Эксперты Varonis указывают, что с технической стороны Stanley не представляет собой ничего исключительного. Сервису недостаёт ряда сложных возможностей, а его разработчики выбрали довольно простой подход к реализации известных методик.
Качество кода вредоносной программы, по мнению специалистов, в некоторых аспектах оставляет желать лучшего. Обработка исключений и ошибок выполнена неравномерно, иногда в коде встречаются пустые блоки catch (которые выполняются при возникновении исключения в соответствующем блоке try). Комментарии в коде дополнения написаны на разных языках, включая английский и русский.
