Pesquisadores de segurança identificaram um novo esquema de malware como serviço (MaaS) sendo comercializado em fóruns de cibercrime russos. O serviço oferece um pacote completo para roubo de credenciais bancárias por meio de extensões maliciosas disfarçadas de aplicativos legítimos do Google Chrome.
Batizado de Stanley, em referência ao pseudônimo usado pelo vendedor, o kit é anunciado com uma promessa incomum: aprovação garantida na Chrome Web Store oficial. Os preços variam entre US$ 2 mil e US$ 6 mil, dependendo do nível de personalização e dos recursos contratados. O caso foi reportado ao Google em 21 de janeiro de 2026. Embora o servidor de comando e controle tenha sido desativado no dia seguinte, a extensão ainda permanecia disponível na loja oficial no momento da publicação.
Malware como serviço com foco em distribuição
O Stanley surgiu publicamente em 12 de janeiro de 2026, divulgado por um usuário identificado como “Стэнли”. Diferente de campanhas tradicionais, o anúncio não tenta ocultar a finalidade criminosa do produto. O vendedor afirma explicitamente que a extensão “passa pela moderação da Google Store”.
O material promocional inclui uma descrição técnica detalhada e um vídeo demonstrando ataques reais contra plataformas populares, como Binance e Coinbase. O produto é apresentado como um serviço turnkey, permitindo que criminosos operem campanhas de phishing sem necessidade de desenvolvimento próprio.
O modelo comercial é dividido em três pacotes. O plano básico custa US$ 2 mil, enquanto o plano premium, de US$ 6 mil, oferece customização completa, painel administrativo avançado e a garantia de publicação na Chrome Web Store. Essa promessa sugere a existência de um método confiável para contornar os sistemas de revisão do Google.
Painel de controle com padrão corporativo
O vídeo demonstrativo revela um painel de gerenciamento sofisticado, semelhante a soluções empresariais. A interface lista todas as vítimas infectadas, identificadas pelo endereço IP público, com informações como status online em tempo real, última atividade e histórico de navegação.
Cada infecção pode ser configurada individualmente. Os operadores definem regras de sequestro de URLs informando o site legítimo que será interceptado e o endereço de destino controlado pelo atacante. As regras podem ser ativadas ou desativadas sob demanda, permitindo campanhas coordenadas e ataques disparados em momentos estratégicos.
Mesmo com a barra de endereços exibindo domínios legítimos, como binance.com, o conteúdo carregado é totalmente falso. Formulários de login, botões e mensagens de erro são manipulados pelo atacante, sem que o usuário perceba a substituição.
Além disso, o sistema permite o envio forçado de notificações push nativas do Chrome, explorando a confiança do usuário no navegador para redirecionar vítimas a páginas maliciosas.
Como a extensão atua tecnicamente
Pesquisadores analisaram uma amostra da extensão criada com o kit Stanley. Embora a versão avaliada seja uma prova de conceito, a comercialização ativa indica que versões funcionais já estejam em circulação.
A extensão se apresenta como “Notely”, uma ferramenta simples de anotações e marcadores. Essa funcionalidade legítima cumpre dois papéis estratégicos: justificar permissões amplas e gerar avaliações positivas antes da ativação remota do comportamento malicioso.
As permissões solicitadas concedem controle total sobre a navegação. Com acesso a todos os sites (all_urls), scripts e eventos de navegação, a extensão consegue interceptar qualquer página visitada. O código é executado no estágio inicial do carregamento (document_start), garantindo controle antes mesmo da renderização do conteúdo legítimo.
Em vez de identificadores aleatórios, o sistema utiliza o endereço IP público da vítima, permitindo correlação entre múltiplos dispositivos e segmentação geográfica precisa para campanhas direcionadas.
A comunicação com o servidor de comando e controle ocorre por meio de polling contínuo a cada dez segundos. O sistema também implementa rotação automática de domínios de backup, mantendo a operação ativa mesmo após tentativas de derrubada da infraestrutura principal.
Quando a vítima acessa um site-alvo, a extensão bloqueia completamente o carregamento da página legítima e injeta um iframe em tela cheia com o conteúdo de phishing, impedindo qualquer tentativa de restauração da navegação original.
Distribuição vale mais que sofisticação
A análise do código revela que o Stanley não se destaca pela complexidade técnica. As técnicas utilizadas são amplamente conhecidas e o código apresenta falhas estruturais, como tratamento incompleto de erros e inconsistências de implementação.
O valor elevado do serviço está diretamente ligado à garantia de distribuição, ao painel pronto para uso e à capacidade de contornar os mecanismos de segurança da Chrome Web Store, e não à inovação tecnológica.
Navegadores se tornam o novo vetor crítico
O surgimento do Stanley ocorre em meio a uma escalada de ataques envolvendo extensões de navegador. Em dezembro de 2025, o grupo DarkSpectre comprometeu cerca de 8,8 milhões de usuários de Chrome, Edge e Firefox. Em janeiro de 2026, duas extensões com quase 900 mil instalações foram flagradas coletando conversas de plataformas de inteligência artificial, incluindo uma com selo de destaque do Google.
Com a consolidação do trabalho remoto, da migração para aplicações SaaS e do uso de dispositivos pessoais, os navegadores passaram a concentrar acesso direto a dados corporativos e pessoais. Esse cenário transformou extensões maliciosas em um dos principais vetores de ataque da atualidade, exigindo maior rigor na análise, instalação e gestão desses plugins.
