「Stanley」と呼ばれる新たなマルウェア・アズ・ア・サービス(MaaS)は、Googleの審査プロセスを通過し、Chrome ウェブストアに公開できる悪意のあるChrome拡張機能を提供すると謳っている。
エンドツーエンドのデータセキュリティ企業Varonisの研究者は、販売者が名乗る別名にちなんでこのプロジェクトをStanleyと命名した。販売者は、ナビゲーションを傍受し、攻撃者が選んだ内容のiframeでウェブページを覆うことで、容易にフィッシング攻撃を行えると宣伝している。
この新しいMaaSの提供内容は、攻撃者が選んだフィッシング内容を含む全画面iframeでウェブページを覆える悪意のあるChrome拡張機能だ。Stanleyはまた、Chrome、Edge、Braveブラウザへのサイレント自動インストールや、カスタム調整への対応も宣伝している。
このMaaSには複数のサブスクリプション階層があり、最も高額なのはLuxeプランで、ウェブパネルと、悪意のある拡張機能をChrome ウェブストアに公開するための完全サポートも提供する。
出典: Varonis
BleepingComputerはこれらの主張についてコメントを求めてGoogleに連絡しており、返答があり次第この記事を更新する。
Varonisの報告によると、Stanleyは被害者のブラウザのアドレスバーを改変せず正規のドメインを表示したまま、悪意のある内容を含む全画面iframeを重ねて表示することで動作する。
.jpg)
出典: Varonis
Stanleyのパネルにアクセスできる運用者は、乗っ取りルールを必要に応じて有効化・無効化できるほか、被害者のブラウザに直接通知をプッシュして特定のページへ誘導し、フィッシングのプロセスをより積極的に推し進めることもできる。
出典: Varonis
StanleyはIPベースの被害者識別をサポートし、地理的ターゲティングや、セッションおよびデバイスをまたいだ相関付けを可能にする。
さらに、この悪意のある拡張機能は10秒ごとに永続的なコマンド&コントロール(C2)ポーリングを実行し、テイクダウンへの耐性を高めるためのバックアップドメインのローテーションも行える。
Varonisは、技術的観点から見るとStanleyには高度な機能が欠けており、代わりに既知の手法を実装するための単純なアプローチを採っているとコメントしている。
そのコードは一部が「粗い」とされ、ロシア語のコメント、空のcatchブロック、一貫しないエラーハンドリングが見られるという。
この新しいMaaSを際立たせているのは、配布モデル、特にChrome ウェブストアの審査を通過して、悪意のある拡張機能を信頼されたブラウザアドオンの最大プラットフォームに載せられるという約束だ。
SymantecとLayerXによる最近の2つの別々の報告でも強調されているように、この種の拡張機能が依然として抜け穴をすり抜けていることを踏まえると、ユーザーは必要最小限の拡張機能のみをインストールし、ユーザーレビューを読み、発行元の信頼性を確認すべきだ。
