Ein neues Malware-as-a-Service-Kit (MaaS) namens „Stanley“ bietet Nutzern laut Forschern von Varonis eine garantierte Veröffentlichung im Chrome Web Store, wobei der Sicherheitsüberprüfungsprozess von Google umgangen wird.
„Für 2.000 bis 6.000 US-Dollar bietet Stanley eine schlüsselfertige Website-Spoofing-Lösung an, die als Chrome-Erweiterung getarnt ist und in der Premium-Version eine garantierte Veröffentlichung im Chrome Web Store verspricht“, so Varonis. „Wir haben dies am 21. Januar 2026 dem Chrome Web Store und dem Hosting-Anbieter gemeldet. Der C2 wurde am nächsten Tag offline genommen, aber die Erweiterung ist weiterhin aktiv.“
Nachdem ein Benutzer die bösartige Erweiterung installiert hat, können die Angreifer die in der Adressleiste angezeigte URL ändern und dem Benutzer gleichzeitig eine Phishing-Seite anzeigen.
„Sobald ein Ziel ausgewählt ist, konfigurieren die Angreifer URL-Hijacking-Regeln, die speziell auf diesen Benutzer zugeschnitten sind“, erklären die Forscher. „Sie legen eine Quell-URL (die legitime Website, die gekapert werden soll) und eine Ziel-URL (die anzuzeigende Phishing-Seite) fest. Die Regeln können pro Infektion aktiviert oder deaktiviert werden, sodass die Betreiber Angriffe inszenieren und bei Bedarf auslösen können. Die Benutzeroberfläche macht dies kinderleicht: Ein Dialogfeld „Neue Weiterleitung“ akzeptiert jedes beliebige Quell-/Zielpaar.“
Darüber hinaus können die Angreifer legitime Chrome-Benachrichtigungen auslösen, um Nutzer dazu zu verleiten, auf Phishinglinks zu drücken.
„Der Preis von 6.000 Dollar spiegelt wahrscheinlich eher den Wert der Veröffentlichungsgarantie im Chrome Web Store und des Verwaltungsbereichs wider als die Komplexität des Codes selbst“, sagt Varonis.
„Diese Garantie macht die üblichen Ratschläge unzureichend. ‚Installieren Sie nur aus offiziellen Stores, überprüfen Sie Bewertungen, achten Sie auf Verifizierungszeichen‘ hilft nicht weiter, wenn bösartige Erweiterungen den Überprüfungsprozess von Google passieren und neben legitimen Tools im Chrome Web Store angeboten werden. Nach ihrer Veröffentlichung können diese Erweiterungen monatelang aktiv bleiben, bevor sie entdeckt werden, und unbemerkt Zugangsdaten von Tausenden von Nutzern sammeln.“
Schulungen zum Sicherheitsbewusstsein mit realistischen Phishing-Simulationen kann den Mitarbeitern helfen, wachsam zu sein, auch wenn sie beschäftigt sind. Wenn die Mitarbeiter wissen, dass sie simulierte Phishing-E-Mails erhalten werden, werden sie die echten eher erkennen.
Varonis hat die story.