Um novo malware-as-a-service (MaaS) chamado "Stanley" oferece extensões maliciosas para o Chrome que prometem passar pelo processo de revisão do Google e ser publicadas na Chrome Web Store.
Pesquisadores da empresa de segurança de dados end-to-end Varonis batizaram o projeto como Stanley, com base no pseudônimo do vendedor.
O malware realiza ataques de phishing simples, interceptando a navegação do usuário e sobrepondo a página com um iframe em tela cheia que exibe o conteúdo desejado pelo atacante.
Esse MaaS foca em extensões que cobrem a página com um iframe contendo phishing personalizado.
Stanley também promete instalação silenciosa automática nos navegadores Chrome, Edge e Brave, além de oferecer suporte para customizações específicas.
O serviço disponibiliza diferentes planos de assinatura.
O mais caro, chamado Luxe Plan, inclui um painel web e suporte completo para publicar a extensão maliciosa diretamente na Chrome Web Store.
Stanley funciona ao sobrepor um iframe em tela cheia com conteúdo malicioso, enquanto a barra de endereço do navegador permanece intacta, exibindo o domínio legítimo.
Os operadores que acessam o painel do Stanley podem ativar ou desativar regras de sequestro conforme desejarem, além de enviar notificações diretamente no navegador da vítima para direcioná-la a páginas específicas, ampliando o ataque de phishing.
O MaaS também permite identificar vítimas com base no endereço IP, realizar segmentação geográfica e correlacionar sessões e dispositivos.
Além disso, a extensão maliciosa faz polling persistente com seu servidor de comando e controle (C2) a cada 10 segundos, podendo alternar entre domínios secundários para garantir resistência contra bloqueios.
Seu código apresenta falhas, incluindo comentários em russo, blocos catch vazios e tratamento inconsistente de erros.
O que diferencia esse MaaS é seu modelo de distribuição, especialmente a promessa de passar pela revisão da Chrome Web Store para infiltrar extensões maliciosas na maior plataforma de add-ons confiáveis para navegadores.
Considerando que extensões perigosas ainda conseguem escapar da triagem, segundo relatórios recentes da Symantec e LayerX, os usuários devem limitar o número de extensões instaladas, ler avaliações e confirmar a confiabilidade do desenvolvedor antes de instalar qualquer complemento.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...