文章总结： 研究人员曝光名为Stanley的黑产MaaS服务，可制作恶意Chrome扩展并绕过审核上架。该服务利用全屏iframe覆盖真实网页实施钓鱼，支持静默安装及定向攻击。虽代码粗糙，但依托官方商店分发极具隐蔽性。专家建议用户减少非必要扩展安装并核查发布者可信度以降低风险。 综合评分： 76 文章分类： 威胁情报,恶意软件,社会工程学,应用安全

新型“Stanley”黑产 MaaS 遭曝光，可令钓鱼扩展通过谷歌 Chrome 商店审核

安世加 安世加

安世加

2026年1月27日 19:58 江苏

新闻

News Today

1 月 27 日消息，数据安全公司 Varonis 的安全研究人员发现了一种名为“Stanley”（取自卖家的化名）的新型恶意软件即服务（MaaS），宣称能够制作并发布通过 Google 审核的恶意 Chrome 浏览器扩展，并成功上架至 Chrome 应用商店。

根据研究人员的描述，Stanley 主打功能是 —— 通过拦截用户浏览行为，在网页上覆盖一个全屏 iframe，从而在不改变浏览器地址栏显示地址的情况下，向用户展示指定的钓鱼内容。

Varonis 表示，该 MaaS 提供的恶意扩展可在 Chrome、Edge 和 Brave 浏览器中运行，并支持所谓的“静默自动安装”。此外，其服务还允许客户进行一定程度的定制，以适配不同的攻击场景。

Stanley 采用订阅制收费模式，其中价格最高的“Luxe Plan”包含一个管理面板，并承诺提供将恶意扩展发布到 Chrome 应用商店的全流程支持。

从技术实现上看，Stanley 的核心攻击方式是利用全屏 iframe 覆盖真实网页内容，使受害者在看到合法域名的情况下，实际与钓鱼页面进行交互。研究人员指出，这种方式可以降低用户的警惕性，从而提高攻击成功率。

此外，攻击者可通过 Stanley 的控制面板随时启用或关闭页面劫持规则，并能直接向受害者浏览器推送通知，引导其访问特定页面，以加快钓鱼流程。该服务还支持基于 IP 的受害者识别功能，可进行地理位置定向，并在不同会话和设备之间进行关联分析。

在通信机制方面，备用域名轮换能力，以提高在遭遇封禁或下线行动时的存活性。

研究人员同时指出，从纯技术角度来看，Stanley 并不包含复杂或前沿的攻击手段，而是采用了较为直接的方式组合多种已知技术。其代码质量被描述为较为粗糙，存在俄文注释、空的异常捕获块以及不一致的错误处理逻辑。

Varonis 认为，Stanley 真正引人关注之处在于其分发模式，尤其是其宣称能够通过 Chrome 应用商店审核并将恶意扩展发布到主流平台。此前，赛门铁克（Symantec）和 LayerX 的独立报告也曾指出，恶意扩展仍可能绕过官方审查机制进入用户环境。

研究人员提醒用户，应尽量减少安装不必要的浏览器扩展，在安装前仔细查看用户评价，并核实扩展发布者的可信度，以降低潜在风险。

本公众号发布的文章均转载自互联网或经作者投稿授权的原创，文末已注明出处，其内容和图片版权归原网站或作者本人所有，并不代表安世加的观点，若有无意侵权或转载不当之处请联系我们处理！

文章转自：IT之家

安世加为出海企业提供SOC 2、ISO27001、PCI DSS、TrustE认证咨询服务（点击图片可详细查看）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安世加 安世加 安世加《新型“Stanley”黑产 MaaS 遭曝光，可令钓鱼扩展通过谷歌 Chrome 商店审核》