Stanleyは新たに発見されたマルウェアツールキットで、開発者によればChromeウェブストアの審査プロセスを回避できるとされています。Notelyアプリを装い、巧妙なサイト偽装によって認証情報を盗みつつ、アドレスバーには正規のURLを表示したままにします。
Stanleyと名付けられた新しいクライムウェア(犯罪用マルウェア)ツールキットが現在、ロシア語の犯罪フォーラムで販売されており、詐欺師が本物と見分けがつかない偽サイトを作成できるようになっています。データセキュリティおよび分析の専門企業Varonisがこのキットを発見して報告しました。初出は2026年1月12日で、Стэнли(Stanley)という別名を使う販売者により、2,000〜6,000ドルで提供されています。
一般ユーザーにとって最も懸念すべき点は、このツールキットが単なるソフトウェアではなく、フル機能のサービスであることです。最も高額なバージョンには、悪意あるアプリがChrome Web Storeの公式セキュリティチェックを通過する保証が付いています。
「その保証こそが、従来の助言を不十分にしている。『公式ストアからのみインストールする、レビューを確認する、認証バッジを探す』では、悪意ある拡張機能がGoogleの審査プロセスを通過し、正規ツールと並んでChrome Web Storeに掲載されてしまう場合には役に立たない。公開後、これらの拡張機能は検知されるまで数か月間アクティブなまま残り、何千人ものユーザーから静かに認証情報を収集し続ける可能性がある」とVaronisのレポートは述べています。
Notelyの罠
私たちは通常、サイトが安全かどうかを判断するためにブラウザのアドレスバーを信頼しています。しかしVaronisの研究者は、StanleyがNotelyというシンプルなメモ取りツールを装う巧妙な手口を使っていることを突き止めました。いったんインストールされると、このアプリは本物のウェブサイトの上に、偽のログインページを直接表示できます。
研究者によると、ユーザーが偽ページを見ている場合でも「ブラウザのURLバーには正規のドメインが表示され続ける」といいます。つまり、上部のアドレスが「coinbase.com」と表示されたままでも、実際には詐欺師のサイトにいる可能性があるということです。さらに調査したところ、このアプリは本物のChrome通知も利用し、人々をだまして危険なリンクをクリックさせることも判明しました。
高度な追跡
Hackread.comと共有されたこの調査によれば、このツールキットは決して基本的なものではありません。被害者のIPアドレスを一意のIDとして使用し、詐欺師がユーザーを追跡したり、閲覧履歴まで確認できるようにします。またアプリは10秒ごとにハッカー側へ「チェックイン」し、新しい命令を受け取ります。
ハッカーの主要な接続先が遮断された場合でも、アプリはオンライン状態を維持するためにフォールバック用アドレスを自動的に順番に切り替えることができます。Varonisはこの脅威を2026年1月21日にGoogleへ報告しました。ハッカーのサーバーは翌日にオフライン化されたものの、Notely拡張機能はそれより長く公開されたままでした。
自分を守るには
今回の発見は、DarkSpectreやCrashFixのキャンペーンを含む、より大きな傾向の一部です。Varonisの上級セキュリティ研究者でレポート著者のDaniel Kelley氏は、「有用なことをしつつ悪意ある機能を隠す拡張機能は見分けにくい」と指摘しています。
同氏は「ブラウザを定期的に監査」し、毎日使わないツールは削除することを提案しています。また、「すべてのウェブサイト」へのアクセス権限を求める拡張機能には注意が必要です。まさにそれが、Stanleyがあなたのアカウントを掌握する方法だからです。
翻訳元: https://hackread.com/stanley-toolkit-russia-forum-fakes-chrome-urls/
