Дослідники компанії Varonis виявили новий malware-as-a-service (MaaS)-сервіс під назвою Stanley, орієнтований на створення та розповсюдження шкідливих розширень для браузера. Розробники платформи обіцяють замовникам розміщення цих розширень в офіційному Chrome Web Store з «гарантованим» проходженням модерації, що суттєво підвищує ризик масового ураження користувачів через, на перший погляд, легітимні додатки.
Новий MaaS Stanley: шкідливі розширення браузера як зручний канал атаки
Назва Stanley відповідає нікнейму продавця, який рекламує сервіс на закритих хакерських майданчиках. На відміну від класичних наборів експлойтів чи фішингових комплектів, Stanley спеціалізується саме на шкідливих розширеннях для Chrome, Microsoft Edge та Brave. Така ніша не випадкова: браузерні розширення давно стали привабливою ціллю, адже користувачі звикли довіряти їм і видають їм широкі дозволи на доступ до вмісту сторінок, cookie, токенів автентифікації та історії перегляду.
За останні роки великі вендори безпеки та сам Google неодноразово повідомляли про масові видалення небезпечних плагінів з Chrome Web Store. Однак поява спеціалізованих MaaS-платформ, які допомагають обходити модерацію магазинів розширень, ускладнює захист екосистеми браузерів та знижує поріг входу для нових зловмисників.
Як працюють шкідливі розширення Stanley
Перехоплення навігації та повноекранний iframe без зміни адресного рядка
Ключовий технічний прийом Stanley — перехоплення відвідуваних користувачем сайтів і підміна контенту через повноекранний iframe. Інфіковане розширення може «накрити» справжню сторінку повноекранним вікном, у яке підвантажується фішингова або інша шкідлива сторінка, контрольована операторами.
При цьому URL у адресному рядку не змінюється і продовжує відображати легітимний домен, наприклад банку, сервісу електронної пошти або платіжної платформи. Для пересічного користувача це виглядає як звичайна форма входу чи оплати, що різко підвищує успішність фішингу. Такий сценарій особливо небезпечний для крадіжки облікових даних, CVV-кодів, одноразових паролів та для подальшого розгортання шкідливих сценаріїв у браузері.
Стеження за жертвами, геотаргетинг та обхід блокувань
За даними Varonis, розширення, створені на базі Stanley, ідентифікують жертв за IP-адресою, підтримують геотаргетинг і відстежують активність у різних сесіях та навіть на різних пристроях. Це дозволяє операторам сервісу вибірково активувати атаки для користувачів із конкретних країн, діапазонів IP чи галузей, фокусуючись на найбільш цінних цілях, наприклад фінансовому секторі або корпоративних користувачах.
Розширення регулярно звертаються до серверів управління (C2) — орієнтовно кожні 10 секунд — отримуючи нові правила, цілі та інструкції. Реалізований механізм швидкого перемикання між резервними доменами C2 допомагає обходити блокування, фільтрацію DNS та списки блокування, підвищуючи живучість інфраструктури зловмисників.
Окрема веб-панель керування дозволяє в режимі реального часу вмикати й вимикати правила перехоплення, а також надсилати жертвам пуш-повідомлення безпосередньо у браузер, примушуючи їх переходити на фішингові сайти, псевдо-«оновлення безпеки» чи сторінки з іншим шкідливим контентом.
Модель поширення та тарифи Stanley як MaaS
Один з найбільш тривожних аспектів Stanley — це спосіб його розповсюдження. Продавець заявляє, що сервіс підтримує напівавтоматичну й мінімально помітну для користувача інсталяцію розширень у браузерах Chrome, Edge та Brave. Ба більше, оператори платформи пропонують супровід під час проходження модерації в Chrome Web Store, фактично продаючи «квиток» до офіційного магазину розширень.
Stanley працює за підписною моделлю malware-as-a-service і пропонує кілька пакетів. Найдорожчий Luxe Plan включає веб-панель керування, цілодобову технічну підтримку та повний супровід публікації шкідливого розширення в офіційному магазині. Подібний «кримінальний SaaS» різко зменшує технічні вимоги до атакуючих: навіть мало досвідчені кіберзлочинці можуть запускати широкомасштабні фішингові та шахрайські кампанії через на вигляд «законні» розширення.
Ризики шкідливих розширень для користувачів і організацій
Уражене розширення браузера — це не лише проблема окремого користувача. Оскільки більшість бізнес-сервісів сьогодні доступні через браузер, компрометація розширення може надати зловмиснику доступ до облачних сховищ, корпоративної пошти, CRM-систем, панелей адміністрування, бухгалтерії та онлайн-банкінгу. У таких сценаріях наслідки варіюються від цільового шахрайства до масштабних витоків конфіденційних даних.
Галузеві звіти з кібербезпеки вже кілька років поспіль фіксують, що браузерні розширення входять до помітних векторів атак. Компанія Google регулярно очищує Chrome Web Store від тисяч підозрілих плагінів, однак поява сервісів на кшталт Stanley, які професіоналізують процес обходу модерації, створює новий виток гонки озброєнь між зловмисниками та захисниками.
Практичні поради із захисту від шкідливих розширень браузера
Для мінімізації ризиків атак через шкідливі розширення браузера доцільно комбінувати технічні та організаційні заходи. Рекомендації для користувачів і компаній включають:
1. Встановлювати розширення лише від перевірених розробників і з відомими репутаційно продуктами, регулярно переглядати список наявних плагінів і видаляти непотрібні або невикористовувані.
2. У корпоративному середовищі застосовувати централізовані політики керування браузером (GPO, MDM тощо), формуючи список дозволених розширень (allowlist) і блокуючи всі інші.
3. Дотримуватися принципу мінімально необхідних привілеїв: не надавати розширенням надмірні дозволи на доступ до даних, вкладок чи всіх сайтів, якщо це не є критично необхідним для їх роботи.
4. Використовувати системи веб-фільтрації, Secure Web Gateway та/або Cloud Access Security Broker (CASB) для виявлення підозрілих запитів, зокрема до невідомих доменів керуючих серверів, та блокування їх на мережевому рівні.
5. Регулярно проводити навчання співробітників з розпізнавання фішингу й дивної поведінки браузера: раптові повноекранні форми входу, неочікувані запити паролів або платіжних даних, підозрілі спливаючі повідомлення та редиректи.
Поява Stanley демонструє, наскільки швидко еволюціонує кримінальна екосистема навколо браузерних розширень і моделі malware-as-a-service. Чим раніше компанії та приватні користувачі запровадять аудит встановлених плагінів, політики контролю браузера, багаторівневий моніторинг трафіку та системне навчання користувачів, тим менше шансів, що наступне «легітимне» розширення виявиться елементом шкідливої інфраструктури у вашому середовищі.
