Nová služba malware-as-a-service (MaaS) s názvem „Stanley“ slibuje škodlivá rozšíření pro Chrome, která dokážou projít kontrolním procesem Googlu a být publikována v Chrome Web Store.
Výzkumníci ze společnosti Varonis, která se zabývá komplexní bezpečností dat, pojmenovali projekt Stanley podle přezdívky prodejce, který inzeruje snadné phishingové útoky prostřednictvím zachycení navigace a překrytí webové stránky iframe s obsahem dle výběru útočníka.
Nová nabídka MaaS je určena pro škodlivá rozšíření Chrome, která mohou překrýt webovou stránku celostránkovým iframe obsahujícím phishingový obsah dle výběru útočníka. Stanley také inzeruje tichou automatickou instalaci v prohlížečích Chrome, Edge a Brave a podporu vlastních úprav. MaaS má několik předplatitelských úrovní, přičemž nejdražší je Luxe Plan, který nabízí také webový panel a plnou podporu pro publikování škodlivého rozšíření do Chrome Web Store.
Varonis uvádí, že Stanley funguje tak, že překryje celou obrazovku iframe se škodlivým obsahem, zatímco adresní řádek prohlížeče oběti zůstává nedotčen a zobrazuje legitimní doménu.
Operátoři, kteří mají přístup k panelu Stanley, mohou na vyžádání povolit nebo zakázat pravidla pro únosy, nebo dokonce posílat oznámení přímo do prohlížeče oběti, aby ji nalákali na konkrétní stránky, čímž phishingový proces probíhá agresivněji.
Stanley podporuje identifikaci obětí na základě IP adresy a umožňuje geografické cílení a korelaci napříč relacemi a zařízeními. Škodlivé rozšíření navíc provádí trvalé dotazování command-and-control (C2) každých 10 sekund a může také provádět rotaci záložních domén, aby poskytlo odolnost proti odstranění.
Varonis komentuje, že z technického hlediska Stanley postrádá pokročilé funkce a místo toho volí přímočarý přístup k implementaci dobře známých technik. Jeho kód je údajně na některých místech „hrubý“, obsahuje ruské komentáře, prázdné bloky catch a nekonzistentní zpracování chyb.
Co skutečně odlišuje tento nový MaaS, je jeho distribuční model, konkrétně slib projít kontrolou Chrome Web Store a dostat škodlivá rozšíření na největší platformu důvěryhodných doplňků prohlížeče.
Vzhledem k tomu, že taková rozšíření nadále proklouznou sítem, jak nedávno zdůraznily dva samostatné zprávy od společností Symantec a LayerX, uživatelé by měli instalovat pouze minimální počet rozšíření, která potřebují, číst uživatelské recenze a ověřit důvěryhodnost vydavatele.
Zdroj: bleepingcomputer.com
Zdroj: IT SECURITY NETWORK NEWS
