Um novo esquema de malware como serviço (MaaS) está circulando em fóruns de cibercrime russos, oferecendo um pacote completo para roubo de credenciais bancárias disfarçado como extensão legítima do Chrome.
O kit, batizado de Stanley pelos pesquisadores de segurança em referência ao nome do vendedor, promete aprovação garantida na Chrome Web Store oficial do Google por valores entre US$ 2 mil e US$ 6 mil.
A descoberta foi reportada ao Google e ao provedor de hospedagem em 21 de janeiro de 2026. O servidor de comando e controle foi derrubado no dia seguinte, mas a extensão maliciosa permanece disponível para download na loja oficial até o momento desta publicação.
O marketplace do crime digital
O Stanley apareceu pela primeira vez em 12 de janeiro de 2026, promovido através de uma listagem detalhada que não deixa margem para dúvidas: o vendedor, usando o pseudônimo “Стэнли” em cirílico, afirma explicitamente que sua extensão “passa pela moderação da Google Store”.
A publicação vem acompanhada de uma lista completa de recursos e um vídeo demonstrativo mostrando ataques contra sites como Binance e Coinbase, posicionando o produto como um serviço turnkey, modelo de contratação onde um único fornecedor assume a responsabilidade total, pronto para uso.
O sistema de preços é escalonado em três níveis. O pacote básico custa US$ 2 mil, mas é o nível premium de US$ 6 mil que recebe destaque, porque além da customização e do painel de gerenciamento, o vendedor garante a publicação na Chrome Web Store.
Essa garantia transfere completamente o risco de distribuição do comprador para o vendedor e sugere que existe um método confiável e repetível para enganar os sistemas de revisão do Google.
Painel de controle digno de software empresarial
O vídeo demonstrativo revela uma interface web de gerenciamento surpreendentemente completa. O painel exibe todos os usuários infectados em uma lista organizada, incluindo endereços IP usados como identificadores únicos, status online ou offline em tempo real, timestamp da última atividade e informações sobre o histórico de navegação.
Os operadores podem clicar em infecções individuais para configurar ataques personalizados.
O processo de configuração é simples. Uma vez selecionado um alvo, os atacantes definem regras de sequestro de URL através de um diálogo intuitivo. Basta inserir a URL de origem, que é o site legítimo a ser interceptado, e a URL de destino, que é a página de phishing controlada pelo criminoso.
As regras podem ser ativadas ou desativadas individualmente por infecção, permitindo que os operadores preparem campanhas e as disparem no momento exato que desejarem.
Enquanto a barra de endereços do navegador continua exibindo o domínio legítimo como binance.com, a vítima vê e interage com conteúdo completamente controlado pelo atacante. Campos de login, botões de confirmação e até mensagens de erro são todos parte da armadilha.
Além do sequestro passivo de páginas, os operadores podem forçar as vítimas a visitarem sites maliciosos através de notificações push. Essas notificações aparecem como alertas nativos do Chrome, não de websites, carregando consigo toda a confiança implícita que o usuário deposita em seu navegador.
O vídeo demonstrativo mostra uma mensagem genérica sobre “novo marcador disponível”, mas os criminosos podem escrever qualquer texto e associá-lo a qualquer URL de redirecionamento que desejarem.
Anatomia técnica do engano
Pesquisadores de segurança obtiveram uma amostra da extensão construída com o kit e desmontaram seu funcionamento. Esta versão específica é uma prova de conceito sem instalações reais, mas dado que o toolkit está sendo ativamente comercializado, versões customizadas provavelmente já estão sendo distribuídas para vítimas reais.
A extensão se apresenta aos usuários como “Notely”, uma ferramenta minimalista para anotações e marcadores. Usuários podem de fato salvar notas e criar marcadores em páginas que visitam.
Esta funcionalidade legítima serve dois propósitos estratégicos. Primeiro, justifica as amplas permissões que a extensão solicita durante a instalação. Segundo, ajuda a acumular avaliações positivas de usuários satisfeitos antes que a funcionalidade maliciosa seja remotamente ativada.
As permissões solicitadas concedem à extensão controle absoluto sobre a experiência de navegação. A permissão de host “all_urls” combinada com capacidades de scripting e webNavigation significa que a extensão pode ler, modificar e interceptar literalmente qualquer site que a vítima visite.
O timing de injeção configurado como “document_start” garante que o código malicioso execute antes mesmo que o conteúdo da página legítima comece a carregar.
Em vez de gerar identificadores aleatórios para rastrear vítimas, a extensão usa algo muito mais útil para os atacantes: o endereço IP público do usuário. Isso permite não apenas identificar pessoas específicas, mas também correlacionar atividades através de múltiplos navegadores e dispositivos conectados à mesma rede.
Mais importante ainda, permite implementar segmentação geográfica para campanhas de phishing direcionadas a regiões específicas.
A comunicação com o servidor de comando e controle acontece através de um mecanismo persistente de polling a cada dez segundos. A extensão constantemente verifica se há novos comandos, notificações para enviar ou regras de redirecionamento para ativar.
O sistema também implementa rotação automática de domínios de backup, garantindo que mesmo se o servidor principal for derrubado pelas autoridades, a operação continue funcionando através de infraestrutura alternativa.
Quando uma vítima navega para um site na lista de alvos, a extensão entra em ação de forma brutal. Ela intercepta completamente a navegação e sobrepõe um iframe em tela cheia contendo a página de phishing do atacante.
O código JavaScript previne ativamente qualquer tentativa do navegador de carregar a página legítima, esconde todo o conteúdo original e injeta o iframe malicioso com permissões sandbox cuidadosamente calibradas para permitir scripts, formulários e popups, tudo posicionado fixamente sobre a viewport inteira com z-index máximo.
Sofisticação comercial, não técnica
Analisando o código em detalhes, fica claro que a implementação é funcional mas não sofisticada. As técnicas empregadas, como sobreposição de iframe, remoção de headers HTTP e polling de comando e controle, são métodos bem documentados e amplamente conhecidos na comunidade de segurança.
O código apresenta várias imperfeições como comentários escritos em russo misturados com código em inglês, blocos de tratamento de erros completamente vazios e inconsistências no gerenciamento de exceções.
O preço de US$ 6 mil não reflete a complexidade técnica do código, mas a garantia de publicação na Chrome Web Store e o painel de gerenciamento pronto para uso.
Contexto mais amplo
Stanley não surgiu do nada. Dezembro de 2025 trouxe o grupo DarkSpectre, que comprometeu 8,8 milhões de usuários do Chrome, Edge e Firefox através de três campanhas coordenadas.
Em janeiro de 2026 duas extensões com 900 mil instalações combinadas estavam roubando silenciosamente conversas do ChatGPT e DeepSeek, sendo que uma delas carregava o selo “Featured” do Google.
No mesmo período, a campanha CrashFix manipulou usuários fazendo seus navegadores travarem intencionalmente e depois oferecendo a “solução” que era, na verdade, um trojan de acesso remoto.
O navegador se tornou o novo endpoint de segurança. Políticas corporativas de permitir que funcionários usem computadores e outros dispositivos pessoais, migração massiva para ambientes SaaS e a normalização do trabalho remoto fizeram do Chrome, Firefox e Edge as principais portas de entrada para dados empresariais e pessoais.
Os atacantes notaram essa mudança e adaptaram suas estratégias. Extensões maliciosas de navegador deixaram de ser um vetor secundário de ataque.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e newsletter para mais notícias de segurança e tecnologia.