“斯坦利”恶意服务绕过Chrome网上应用店安全审核,确保恶意扩展上架
网络犯罪分子推出名为“斯坦利”的恶意软件即服务(MaaS),成功绕过Google Chrome网上应用店的安全审核,发布钓鱼扩展,威胁用户与企业安全。
网络犯罪分子推出“斯坦利”恶意软件即服务(MaaS),针对Chrome网上应用店
近期发现的恶意软件即服务(Malware-as-a-Service,MaaS)平台**“斯坦利”(Stanley)正在帮助威胁行为者部署恶意Chrome扩展,这些扩展能够成功绕过Google的审核流程,并发布在官方的Chrome网上应用店**上。该服务保证提供以钓鱼攻击为主的扩展,对用户和组织构成重大安全风险。
技术细节
研究人员指出,斯坦利采用订阅制的MaaS模式,为网络犯罪分子提供预先构建的恶意Chrome扩展,这些扩展旨在规避Google自动化和人工审核流程中的检测。这些扩展被设计用于执行钓鱼攻击,窃取敏感数据,如登录凭据、金融信息和会话Cookie。
斯坦利MaaS的主要特征包括:
- 规避技术:扩展被设计成模仿合法功能,同时隐藏恶意行为,例如动态加载代码或延迟执行。
- 持久性机制:部分变种可能采用技术手段,即使在浏览器重启或更新后仍能保持访问权限。
- 定向钓鱼:扩展专门针对高价值目标(如企业用户和金融机构)窃取凭据。
截至发稿时,这些扩展所利用的漏洞尚未被分配具体的CVE编号。然而,该服务凸显了Chrome网上应用店审核机制的关键漏洞,特别是在检测混淆或延时恶意负载方面存在不足。
影响分析
斯坦利的出现凸显了MaaS服务的日益复杂化,降低了技术能力有限的网络犯罪分子的进入门槛。能够在Chrome网上应用店(一个表面上可信的平台)发布恶意扩展,进一步放大了大规模钓鱼攻击的风险,主要针对以下群体:
- 企业用户:企业凭据和内部系统可能被泄露,导致数据泄露或网络内横向移动。
- 个人用户:个人账户(包括银行和电子邮件)面临凭据被盗和金融欺诈的风险。
- 开发者:开发者可能无意中安装恶意扩展,导致供应链攻击,尤其是当扩展与合法软件捆绑时。
由于Chrome拥有超过30亿用户,Google的Chrome网上应用店历来是威胁行为者的主要目标。尽管Google采用自动化扫描和人工审核来降低风险,但斯坦利MaaS的出现表明,坚定的攻击者仍能利用审核流程中的漏洞。
安全团队建议
为降低恶意Chrome扩展带来的风险,安全专业人员应采取以下措施:
-
强制执行扩展策略:限制Chrome扩展的安装,仅允许预先批准的扩展列表,特别是在企业环境中。可使用**组策略(Group Policy)或Chrome企业策略(Chrome Enterprise Policy)**强制执行这些限制。
-
异常行为监控:部署终端检测与响应(EDR)解决方案,监控扩展的异常行为,如未经授权的数据外泄或与已知恶意域的网络连接。
-
用户培训:开展安全意识培训,帮助用户识别钓鱼攻击,并认识到安装未经验证的扩展(即使来自Chrome网上应用店)的风险。
-
利用威胁情报:订阅跟踪恶意扩展和MaaS操作的威胁情报源。与行业同行共享入侵指标(IOCs),提升集体防御能力。
-
定期审计:定期审计组织设备上安装的扩展,识别并移除未经授权或可疑的插件。
-
举报可疑扩展:鼓励用户通过Google的Chrome网上应用店举报工具举报表现出恶意行为的扩展。
结论
斯坦利MaaS的运作凸显了不断演变的威胁形势,网络犯罪分子越来越多地利用Chrome网上应用店等可信平台传播恶意软件。安全团队必须采取主动措施,结合技术控制、用户教育和威胁情报,防御这些复杂的攻击。随着Google不断完善其审核流程,组织必须保持警惕,保护用户和数据免受钓鱼和凭据盗窃的威胁。