Stanleyと名付けられた高度な悪意あるツールは、ブラウザ拡張機能の悪用の進化におけるパラダイムシフトを体現している。もはや場当たり的な偽サイトや初歩的なフィッシングポータルと戦っているのではない。代わりに、アドレスバー内の「本物の」ドメインの正当性を保ったまま、人気サイトを密かに改ざんできる、商業化された「マルウェア・アズ・ア・サービス」エコシステムの台頭を目の当たりにしている。
闇フォーラムで2,000〜6,000ドルの価格帯で販売されるStanleyの最上位プランには、ツール本体だけでなく、包括的な管理パネル、個別のカスタマイズ、そして何よりChromeウェブストアでの審査通過を保証する仕組みが含まれる。これにより悪意ある拡張機能がGoogleによって公式に承認され、無害で正規のアプリケーションを装うことが可能になる。
この拡張機能はNotelyという無害なメモ取り・ブックマーク用ユーティリティを装う。ユーザーの信頼と好意的な評価を得るために謳い文句どおりの機能を忠実に果たす一方で、ユーザーが訪れるあらゆるドメインにアクセスする権限も確保し、初回読み込み前にWebページを改ざんできるようにする。
リモートのコマンド&コントロール(C2)インターフェースを通じて、攻撃者は接続されたブラウザを監視し、IPアドレスでユーザーを追跡し、任意のタイミングでページのリダイレクトを有効化できる。たとえばbinance.comやcoinbase.comにアクセスしてもアドレスバーは変わらないのに、ユーザーには攻撃者の支配下にある偽のインターフェースが表示される。平均的なユーザーにとって、この視覚的な欺瞞を本物のサイトと見分けるのはほぼ不可能だ。
さらにStanleyは、外部サイト経由ではなくChromeブラウザを通じて直接プッシュ通知を送信する能力を備えている。これらの通知は非常に「公式」らしく見え、より高い信頼を生み出すとともに、攻撃者がさまざまな口実でユーザーをリアルタイムに悪意あるページへ誘導することを可能にする。
Varonisのフォレンジックによれば、Googleへの報告後にコマンドサーバーは一部が解体されたものの、発見時点では拡張機能自体はストアで入手可能な状態のままだった。これは深刻化しつつある危機を浮き彫りにする。悪意ある製品が審査プロセスを容易にすり抜けられるのなら、「公式リポジトリからのみインストールする」という従来の常識はもはや通用しない。
Varonisは、危険性の本質は技術的な複雑さにあるのではないと強調する。iframeを用いてページを差し替える仕組み自体は、よく知られた手法だ。むしろStanleyの真の価値は、そのインフラ、自動化された攻撃能力、そして公開保証にある。リモートワーク、SaaSの普及、BYODポリシーが支配する時代において、ブラウザは企業および個人のテレメトリーにとって究極の「侵入口」へと変貌した。Stanleyは、サブスクリプションの階層やサービス保証まで備えた悪意ある拡張機能市場のプロフェッショナル化を如実に示す証左であり、公式マーケットプレイスの脆弱性を今後も突き続けるだろう。
