概要
『Stanley』と呼ばれる新種のサービス型マルウェア(MaaS)が、Googleの審査プロセスを通過し、Chromeウェブストアに悪意のあるChrome拡張機能を公開できると謳っています。エンドツーエンドのデータセキュリティ企業Varonisの研究者たちは、このプロジェクトを販売者のエイリアスにちなんで『Stanley』と名付けました。販売者は、ナビゲーションを傍受し、攻撃者が選択したコンテンツを含むiframeでウェブページを覆うことで、容易なフィッシング攻撃が可能になると宣伝しています。
この新しいMaaSは、攻撃者が選択したフィッシングコンテンツを含むフルスクリーンiframeでウェブページ全体を覆うことができる悪意のあるChrome拡張機能を提供します。Stanleyはまた、Chrome、Edge、Braveブラウザでのサイレント自動インストールと、カスタム調整のサポートも宣伝しています。
このMaaSには複数のサブスクリプションティアがあり、最も高価な『Luxe Plan』では、Webパネルと悪意のある拡張機能をChromeウェブストアに公開するための完全なサポートが提供されます。
攻撃手法と機能
Varonisの報告によると、Stanleyは悪意のあるコンテンツを含むフルスクリーンiframeを重ね合わせることで機能します。この際、被害者のブラウザのアドレスバーはそのまま維持され、正当なドメインが表示されます。
Stanleyのパネルにアクセスできる攻撃者は、オンデマンドでハイジャックルールを有効または無効にしたり、被害者のブラウザに直接プッシュ通知を送信して特定のページに誘導し、フィッシングプロセスをより積極的に推進することができます。
Stanleyは、IPアドレスに基づいた被害者識別をサポートし、地理的ターゲティング、セッションおよびデバイス間の関連付けを可能にします。さらに、この悪意のある拡張機能は10秒ごとに持続的なコマンド&コントロール(C2)ポーリングを実行し、テイクダウンに対する耐性を提供するためにバックアップドメインのローテーションも行います。
技術的側面と特異性
Varonisは、技術的な観点から見ると、Stanleyは高度な機能を欠いており、既知の技術を実装するための単純なアプローチを採用しているとコメントしています。そのコードは一部『粗雑』であり、ロシア語のコメント、空のcatchブロック、一貫性のないエラー処理が見られると報告されています。
この新しいMaaSを真に際立たせているのは、その配布モデル、特にChromeウェブストアの審査を通過し、信頼されているブラウザアドオンの最大プラットフォームに悪意のある拡張機能を公開できるという約束です。SymantecとLayerXによる2つの異なるレポートで最近強調されたように、このような拡張機能が継続してすり抜けている現状を鑑みると、ユーザーは必要最小限の拡張機能のみをインストールし、ユーザーレビューを読み、発行元の信頼性を確認する必要があります。
Googleの対応
BleepingComputerは、これらの主張についてGoogleにコメントを求めました。返答があり次第、この記事を更新する予定です。