Исследователи компании Varonis сообщили об обнаружении нового malware-as-a-service (MaaS)-сервиса под названием Stanley, который специализируется на создании вредоносных браузерных расширений. Разработчики платформы обещают киберпреступникам возможность размещать такие расширения в официальном магазине Chrome Web Store с гарантированным прохождением модерации, что существенно повышает риск массового заражения пользователей.
Новый MaaS Stanley: фокус на вредоносных расширениях браузера
Сервис Stanley получил свое название по нику продавца, рекламирующего продукт на закрытых хакерских форумах. В отличие от классических наборов эксплойтов или фишинговых комплектов, основной функционал Stanley сосредоточен вокруг вредоносных расширений для Chrome, Edge и Brave. Такой подход вписывается в устойчивый тренд: браузерные расширения становятся все более привлекательной целью для атакующих из-за высокой степени доверия со стороны пользователей и широких прав доступа к данным в браузере.
Технические возможности вредоносных расширений Stanley
Полноэкранный iframe и маскировка под легитимный сайт
Ключевая особенность Stanley — использование механизма перехвата навигации пользователя. Вредоносное расширение способно закрывать реальную веб-страницу полноэкранным iframe, загружая в него фишинговый или иной вредоносный контент, выбранный операторами. При этом адресная строка браузера не меняется и продолжает отображать легитимный домен, что значительно усложняет визуальное обнаружение атаки пользователем.
Такой подход позволяет проводить высокоэффективные фишинговые кампании: жертва уверена, что находится, например, на сайте банка или популярного сервиса, хотя фактически взаимодействует с поддельной страницей, созданной злоумышленниками. Подобные сценарии особенно опасны для кражи учетных данных, данных банковских карт и внедрения дальнейшего вредоносного кода.
Слежение за пользователями и обход блокировок
Согласно анализу Varonis, расширения Stanley идентифицируют жертв по IP-адресу, поддерживают геотаргетинг и отслеживают активность в разных сессиях и на разных устройствах. Это позволяет операторам точечно нацеливаться на пользователей из конкретных стран, отраслей или диапазонов IP-адресов, повышая рентабельность атак.
Расширения регулярно обращаются к управляющему серверу каждые 10 секунд, получая новые правила и команды. Встроенный механизм переключения между резервными доменами помогает обходить блокировки и фильтрацию трафика, повышая устойчивость инфраструктуры атакующих. Дополнительно панель управления позволяет в реальном времени включать и отключать правила перехвата, а также отправлять уведомления прямо в браузер жертвы, перенаправляя ее на нужные атакующим ресурсы.
Модель распространения и тарифные планы Stanley
Одним из наиболее опасных аспектов Stanley является его модель распространения. Продавец утверждает, что поддерживает процесс автоматизированной и незаметной установки расширений в браузеры Chrome, Edge и Brave, а также берет на себя помощь в прохождении модерации в Chrome Web Store. В рекламных материалах подчеркивается, что расширения якобы «гарантированно» попадают в официальный магазин.
Сервис работает по подписочной модели MaaS и предлагает несколько тарифных планов. Наиболее дорогой — Luxe Plan — включает веб-панель управления, круглосуточную поддержку и сопровождение публикации вредоносного расширения в официальном магазине. Наличие подобных сервисов снижает порог входа для киберпреступников, позволяя даже малоквалифицированным участникам запускать масштабные фишинговые и мошеннические кампании через «законные» каналы распространения.
Риски для пользователей и организаций
Вредоносные расширения наподобие Stanley представляют угрозу не только для отдельных пользователей, но и для корпоративных сетей. Через браузер злоумышленники могут получить доступ к облачным сервисам, корпоративной почте, CRM-системам, панелям администрирования и финансовым сервисам. Поскольку вход в такие системы часто осуществляется из браузера, компрометация расширения может привести к масштабной утечке данных и финансовым потерям.
По данным крупных вендоров и исследовательских компаний, браузерные расширения уже несколько лет подряд входят в число заметных векторов атак. Google регулярно сообщает об удалении из Chrome Web Store тысяч расширений, нарушающих политику безопасности, однако появление MaaS-платформ, специализирующихся именно на обходе модерации, усложняет защиту экосистемы.
Как защититься от вредоносных расширений браузера
Для снижения риска атак через расширения браузера рекомендуется сочетать технические и организационные меры. Пользователям и компаниям целесообразно:
1. Ограничить установку расширений до проверенных разработчиков и хорошо известных продуктов, регулярно пересматривать список установленных плагинов и удалять лишние.
2. Использовать централизованные политики (например, через групповые политики или средства MDM) для управления списком разрешенных расширений в корпоративной среде.
3. Включить и строго соблюдать принципы минимально необходимых привилегий — не выдавать расширениям избыточные права доступа к данным и сайтам.
4. Применять системы веб-фильтрации и решения класса Secure Web Gateway / Cloud Access Security Broker (CASB) для отслеживания подозрительных запросов, включая обращения к неизвестным доменам управляющих серверов.
5. Проводить регулярное обучение сотрудников распознаванию признаков фишинга и необычного поведения браузера, включая внезапные полноэкранные формы входа и всплывающие уведомления.
Появление сервисов вроде Stanley демонстрирует, насколько стремительно эволюционирует криминальная экосистема вокруг браузерных расширений и моделей MaaS. Организациям и частным пользователям необходимо внимательнее относиться к установке расширений, усиливать контроль за браузерной средой и инвестировать в комплексную киберзащиту. Чем раньше выстроены процессы мониторинга и управления рисками в области браузерной безопасности, тем меньше шансов, что следующая волна вредоносных расширений окажется внутри вашей инфраструктуры.
