Поделиться
Проверки не помогут. Ловкий хакер продает трояны-как-услугу с гарантированным преодолением цензуры и публикацией в магазине расширений для Chrome
Создатели нового фишингового инструмента Stanley, который внедряется на ПК жертвы при помощи кастомизированного браузерного дополнения, обещают его гарантированное размещение в официальном магазине Google и прохождение всех необходимых проверок. Правда, за такую услугу придется хорошо заплатить.Новый фишинговый сервис с «изюминкой»
Исследователи в области информационной безопасности обнаружили на просторах Сети новый фишинговый инструмент, доступ к которому предоставляется по модели «вредонос-как-услуга» (Malware-as-a-service; MaaS), пишет Bleeping Computer
Атака на жертву начинается с заражения ее компьютера специальным дополнением для браузера Google Chrome, которое может быть модифицировано под нужды клиента. Продавец – при определенных условиях – готов взять на себя хлопоты по размещению вредоносного дополнения в официальном магазине Chrome Web Store и предоставить гарантии прохождения им проверок корпорации Google.
Эксперты ИБ-компании Varonis присвоили инструменту название “Stanley”. Именно за таким псевдонимом (вернее, «Стэнли» – автор оригинального сообщения использует кириллицу в никнейме) скрывается пользователь одного из хакерских форумов в Сети, отвечающий за продажи доступа к сервису, в рамках которого клиентам обещают запуск фишинговых атак без особых усилий.
Гарантии размещения для самых обеспеченных клиентов
Потенциальным клиентам предлагается три уровня платной подписки на сервис по цене в диапазоне от $2 тыс. до $6 тыс.
В рамках самого дорогого тарифного плана под названием Luxe, помимо, собственно, вредоносного дополнения, заказчик получает доступ к веб-панели администратора для управления вредоносном, а также к услуге помощи в размещении дополнения в Chrome Web Store.
Продавец утверждает, что в случае выбора этого тарифа вредоносное расширение гарантированно попадет в официальный магазин Google.
Bleeping Computer обратился к Google с вопросами относительно того, как именно владельцы нового сервиса могли бы добиться публикации вредоносного дополнения в Chrome Web Store в обход проверок. В компании пока не ответили.
В декабре 2025 г. CNews писал том, что расширение Trust Wallet (принадлежит крупной криптобирже Binance) для Chrome оказалось скомпрометированным, в результате чего злоумышленники вывели $7 млн. Экспертами рассматривались различные версии причин произошедшего, в том числе инсайдерская атака.
Что умеет Stanley
В Varonis поясняют, что Stanley умеет внедрять фишинговый контент в код легитимной веб-страницы на стороне жертвы с помощью метода iframe – таким образом, что тот полностью перекрывает ее содержимое. При этом строка адреса браузера остается нетронутой, благодаря чему пользователя проще убедить в том, что он просматривает оригинальный сайт, закрепленный за корректным доменным именем, а не подделку, подсунутую злоумышленником.
Продавцы Stanley предлагают альтернативный способ доставки вредоносного расширения на ПК жертвы – при помощи специальной программы-инсталлятора, действующей незаметно для пользователя. После ее запуска вредонос заработает в браузерах Chrome, Edge, Brave и Opera.
Операторы с доступом к панели администратора Stanley располагают возможностью модифицировать поведение вредоносного дополнения, а также отправлять push-уведомления непосредственно в браузер жертвы, что, к примеру, может помочь в деле ее заманивания на конкретную страницу в интернете.
Stanley поддерживает идентификацию жертв по IP-адресу, вывод различного контента в зависимости от географического положения жертвы.
Вредоносное расширение с периодичностью раз в 10 секунд обращается к серверу управления (C2) и умеет переключаться на резервную C2-инфраструктуру, что позволяет ему сохранять функциональность даже в случае выхода из строя одного из ее объектов.
Специалисты Varonis отмечают, что с технической точки Stanley не является выдающимся инструментом. Сервису не хватает ряда «продвинутых» функций, его создателями выбран довольно прямолинейный подход к реализации хорошо известных техник.
Качество программного кода вредоноса, по оценке экспертов, местами хромает. Обработка исключений и ошибок реализована непоследовательно, порой в коде можно встретить пустые блоки catch (их содержимое выполняются в случае возникновения исключения в соответствующем блоке try). Комментарии к коду дополнения встречаются на разных языках, в том числе английском и русском.
Поделиться
Короткая ссылка
