$6000 за взлом Google Chrome. В сети нашли сервис, который гарантированно пропихивает вирусы в Chrome Web Store

Новый вредоносный инструмент под названием Stanley показывает, что атаки через браузерные расширения выходят на принципиально новый уровень. Речь уже не о случайных подделках сайтов или примитивных фишинговых страницах, а о коммерческом сервисе для киберпреступников, который позволяет незаметно подменять содержимое популярных сайтов, при этом сохраняя в адресной строке «настоящий» домен.

Stanley продается на хакерском форуме как готовый сервис формата malware-as-a-service и стоит от 2 000 до 6 000 долларов. Самое дорогое предложение включает не только сам инструмент, но и панель управления, кастомизацию под заказчика и главное – обещание гарантированного прохождения модерации в Chrome Web Store. Это означает, что вредоносное расширение официально публикуется в магазине Google и выглядит как обычное легальное приложение.

Формально расширение маскируется под безобидный сервис заметок и закладок под названием Notely. Оно действительно умеет сохранять заметки и ссылки, что помогает завоевывать доверие пользователей и получать положительные отзывы. Но параллельно расширение получает доступ ко всем сайтам, которые посещает пользователь, и может управлять страницами еще до их загрузки.

Через удаленную панель управления злоумышленники видят подключенные браузеры, отслеживают пользователей по IP-адресам и могут в любой момент включать подмену страниц. Например, при заходе на binance.com или coinbase.com в адресной строке остается реальный домен, но человек видит поддельную страницу, полностью контролируемую атакующим. Визуально отличить такую подмену практически невозможно.

Дополнительно Stanley умеет отправлять push-уведомления прямо через Chrome, а не через сайты. Такие уведомления выглядят максимально «официально» и вызывают больше доверия. С их помощью пользователей можно направлять на нужные страницы в реальном времени, под любым предлогом и с любым текстом.

По данным специалистов Varonis, управляющие серверы уже были частично отключены после жалобы в Google, но само расширение в магазине на момент обнаружения продолжало оставаться доступным. Это подчеркивает главную проблему: привычный совет «устанавливайте расширения только из официальных магазинов» больше не работает, если вредоносные продукты спокойно проходят модерацию и выглядят как обычные приложения.

В Varonis отмечают, что дело не в технической сложности кода. Сам механизм подмены страниц через iframe давно известен, а в коде Stanley даже остались комментарии и примитивная обработка ошибок. Основная ценность продукта не в технологиях, а в инфраструктуре, автоматизации атак и гарантии публикации в Chrome Web Store.

На фоне удаленной работы, SaaS-сервисов и политики BYOD браузер фактически стал новой «точкой входа» в корпоративные и личные данные. И киберпреступники это прекрасно понимают. Расширения браузера из вспомогательного инструмента превратились в один из самых опасных векторов атак, способных незаметно красть учетные данные, подменять сайты и перехватывать переписку.

Stanley наглядно показывает, что рынок вредоносных браузерных инструментов становится полноценным бизнесом с тарифами, поддержкой и гарантиями. И пока магазины расширений работают по модели «одна проверка при публикации, бесконечные обновления после», такие сервисы будут снова и снова находить дорогу к миллионам пользователей.