$6,000 por hackear Google Chrome: hallan un servicio en la red que promete colar malware en la Chrome Web Store
Hackers empiezan a vender "Stanley", un servicio para suplantar contenido de forma imperceptible en sitios populares
Un nuevo instrumento malicioso llamado Stanley muestra que los ataques a través de extensiones del navegador alcanzan un nivel fundamentalmente nuevo. Ya no se trata de falsificaciones ocasionales de sitios o de páginas de phishing primitivas, sino de un servicio comercial para ciberdelincuentes que permite sustituir discretamente el contenido de sitios populares, manteniendo en la barra de direcciones el dominio "real".
Stanley se vende en un foro hacker como un servicio listo del tipo malware como servicio y cuesta entre 2 000 y 6 000 dólares. La oferta más cara incluye no solo la propia herramienta, sino también un panel de control, personalización a medida para el cliente y, sobre todo, la promesa de aprobación garantizada en Chrome Web Store. Esto significa que la extensión maliciosa se publica oficialmente en la tienda de Google y parece una aplicación legítima cualquiera.
Formalmente la extensión se disfraza de un servicio inofensivo de notas y marcadores llamado Notely. Realmente puede guardar notas y enlaces, lo que ayuda a ganarse la confianza de los usuarios y a recibir reseñas positivas. Pero al mismo tiempo la extensión obtiene acceso a todos los sitios que visita el usuario y puede controlar las páginas incluso antes de que se carguen.
A través de un panel de control remoto los atacantes ven los navegadores conectados, rastrean a los usuarios por direcciones IP y pueden en cualquier momento activar la suplantación de páginas. Por ejemplo, al entrar en binance.com o coinbase.com, en la barra de direcciones permanece el dominio real, pero la persona ve una página falsa controlada por el atacante. Visualmente es prácticamente imposible distinguir esa suplantación.
Además, Stanley puede enviar notificaciones push directamente a través de Chrome, y no a través de los sitios. Esas notificaciones parecen lo más «oficial» posible y generan más confianza. Con su ayuda se puede dirigir a los usuarios hacia las páginas deseadas en tiempo real, con cualquier pretexto y con cualquier texto.
Según los especialistas de Varonis, los servidores de control ya fueron parcialmente desconectados tras una queja a Google, pero la propia extensión en la tienda al momento del hallazgo seguía estando disponible. Esto subraya el problema principal: el consejo habitual de «instalar extensiones solo desde tiendas oficiales» ya no funciona, si los productos maliciosos pasan sin problemas la moderación y aparentan ser aplicaciones comunes.
En Varonis señalan que no se trata de la complejidad técnica del código. El mecanismo de suplantación de páginas mediante iframe es conocido desde hace tiempo, y en el código de Stanley incluso quedaron comentarios y un manejo de errores primitivo. El valor principal del producto no está en las tecnologías, sino en la infraestructura, la automatización de los ataques y la garantía de publicación en Chrome Web Store.
Ante el trabajo remoto, los servicios SaaS y la política BYOD, el navegador se ha convertido en el nuevo «punto de entrada» a los datos corporativos y personales. Y los ciberdelincuentes lo saben muy bien. Las extensiones del navegador, de herramienta auxiliar, se han transformado en uno de los vectores de ataque más peligrosos, capaces de robar credenciales sin ser detectadas, suplantar sitios e interceptar la correspondencia.
Stanley muestra con claridad que el mercado de herramientas maliciosas para navegadores se está convirtiendo en un negocio completo con tarifas, soporte y garantías. Y mientras las tiendas de extensiones funcionen con el modelo «una verificación al publicar, actualizaciones infinitas después», estos servicios seguirán encontrando una y otra vez el camino hacia millones de usuarios.