Исследователи обнаружили новый MaaS-сервис (malware-as-a-service, «малварь-как-услуга») под названием Stanley. Его разработчики обещают злоумышленникам создание вредоносных расширений для Chrome, способных обойти модерацию и проникнуть в официальный Chrome Web Store.

Проект обнаружили исследователи из компании Varonis. Название Stanley сервис получил «в честь» ника продавца, который рекламирует малварь на хак-форумах.

Главной особенностью Stanley является создание вредоносных расширений, которые могут перехватывать навигационные действия пользователя и закрывать легитимные веб-страницы полноэкранным iframe с фишинговым контентом на выбор атакующих.

MaaS предлагает незаметную автоустановку расширений в браузеры Chrome, Edge и Brave, а также поддержку кастомных доработок. Своим клиентам сервис предлагает несколько тарифных планов, самый дорогой называется Luxe Plan и включает в себя веб-панель управления и полную поддержку в ходе публикации вредоносного расширения в Chrome Web Store.

По данным специалистов, Stanley работает просто: накладывает на страницу полноэкранный iframe с вредоносным содержимым, при этом адресная строка браузера жертвы остается нетронутой и показывает легитимный домен.

Операторы, у которых есть доступ к панели малвари, могут включать и отключать правила перехвата по требованию. Также они могут отправлять уведомления прямо в браузер жертвы, чтобы заманить пользователя на нужные страницы.

Stanley умеет идентифицировать жертв по IP-адресу, поддерживает географический таргетинг и отслеживает пользователя через сессии и устройства. Расширение постоянно опрашивает управляющий сервер каждые 10 секунд и может переключаться между резервными доменами, чтобы обходить возможные блокировки.

Главное, что отличает этот MaaS от конкурентов на черном рынке — модель распространения. В частности, продавец обещает, что вредоносные расширения Stanley гарантировано пройдут проверку в Chrome Web Store и попадут в официальный магазин.