Stanley MaaS
A Varonis kutatása szerint a Stanley malware-as-a-service (MaaS) káros Chrome böngészőbővítményeket kínál, és azt ígéri, hogy ezek átjutnak a Google ellenőrzési folyamatán, így hivatalosan is megjelenhetnek a Chrome Web Store-ban. A szoftvert egy orosz nyelvű kiberbűnzői fórumnál Стэнли néven reklámozó eladó 2000 és 6000 dollár közötti áron kínálja, a prémium változat garantálja, hogy a bővítmény sikeresen felkerül a hivatalos áruházba. A Stanley főleg banki és kriptovaluta-platformok utánzó oldalainak megjelenítésére specializálódott, és a támadók számára könnyen kezelhető, webes vezérlőpultot kínál, ahol az áldozatokat és a támadási szabályokat testre lehet szabni
A Stanley működési elve, hogy a böngészőben egy teljes képernyős iframe-et helyez el a valódi tartalom fölé, miközben a címsorban a hiteles domain marad látható. Ez azt jelenti, hogy az áldozat a böngészőben továbbra is a valódi weboldal URL-jét látja, miközben valójában egy hamis, adatokra vadászó felületet használ. A káros bővítmény képes IP-alapú áldozatazonosításra, földrajzi célzásra, és különböző eszközökön átnyúló munkamenetek korrelálására. Emellett folyamatosan kommunikál a támadók C2 szerverével és képes tartalék domainekre váltani, ha az eredeti oldalt letiltják.
A Varonis szerint a Stanley technikailag nem különösebben innovatív, hanem ismert, de hatékony módszereket alkalmaz, a böngészőben megjelenő hamis tartalom pixel-perfekt másolata a valódi oldalaknak, így nehéz felismerni a csalást. A bővítmény képes valós idejű hitelesítő adatok és egyszeri jelszavak ellopására, valamint a munkamenetek monitorozására.
