Stanley, geliştiricisine göre Chrome Web Mağazası inceleme sürecini atlayan, yeni keşfedilen bir kötü amaçlı yazılım araç setidir. Notely uygulaması görünümüne bürünen bu uygulama, yasal URL’leri adres çubuğunda tutarken kimlik bilgilerini çalmak için akıllı web sitesi sahtekarlığı yöntemini kullanıyor.
Stanley adlı yeni bir suç yazılımı araç seti şu anda Rusça suç forumlarında satılıyor ve dolandırıcıların gerçeğiyle aynı görünen sahte web siteleri oluşturmasına olanak tanıyor. Veri güvenliği ve analiz uzmanı Varonis, ilk kez 12 Ocak 2026’da ortaya çıkan bu kiti keşfedip bildirdi. Bu takma adı kullanan bir satıcı tarafından sunuluyor. Стэнли (Stanley) 2.000 ila 6.000 $ arasında değişen fiyatlara.
Ortalama kullanıcıyı en çok ilgilendiren şey, bu araç setinin yalnızca bir yazılım parçası değil, tam özellikli bir hizmet olmasıdır. En pahalı sürüm, kötü amaçlı uygulamanın Chrome Web Mağazası’nın resmi güvenlik kontrollerini geçeceğine dair bir garantiyle birlikte gelir.
Varonis’in raporunda, “Bu garanti, olağan tavsiyeleri yetersiz kılan şeydir. “Yalnızca resmi mağazalardan yükleyin, incelemeleri kontrol edin, doğrulanmış rozetleri arayın”, kötü amaçlı uzantılar Google’ın inceleme sürecini geçip Chrome Web Mağazası’nda meşru araçların yanında yer aldığında işe yaramaz. Bu uzantılar, yayınlandıktan sonra tespit edilmeden önce aylarca aktif kalabilir ve binlerce kullanıcının kimlik bilgilerini sessizce toplayabilir,” diyor.
Dikkatli Tuzak
Normalde bir sitenin güvenli olup olmadığını bize bildirmek için tarayıcımızın adres çubuğuna güveniriz. Ancak Varonis araştırmacıları, Stanley’nin Notely adı verilen basit bir not alma aracı olarak kendini gizleyerek akıllıca bir numara kullandığını keşfetti. Bir kişi uygulamayı yükledikten sonra uygulama, doğrudan gerçek bir web sitesi üzerinde sahte bir giriş sayfası görüntüleyebilir.
Araştırmacılara göre, kullanıcı sahte bir sayfaya bakarken bile “tarayıcının URL çubuğu meşru alanı göstermeye devam ediyor.” Bu, üstteki adreste hâlâ “coinbase.com” yazıyorken bir dolandırıcının sitesinde olabileceğiniz anlamına gelir. Daha ayrıntılı araştırmalar, uygulamanın aynı zamanda insanları tehlikeli bağlantılara tıklamaları için kandırmak amacıyla gerçek Chrome bildirimlerini kullandığını ortaya çıkardı.
Gelişmiş Takip
Hackread.com ile paylaşılan bu araştırma, araç setinin temel olmaktan uzak olduğunu gösteriyor. Kurbanın IP adresini benzersiz bir kimlik olarak kullanarak dolandırıcıların kullanıcıları takip etmesine ve hatta tarama geçmişlerini görmesine olanak tanıyor ve uygulama, yeni komutlar almak için her 10 saniyede bir bilgisayar korsanlarıyla “kontrol yapıyor”.
Bilgisayar korsanlarının ana bağlantısı kesilirse uygulama, çevrimiçi kalmak için otomatik olarak yedek adresler arasında geçiş yapabilir. Varonis bu tehdidi 21 Ocak 2026’da Google’a bildirdi. Bilgisayar korsanlarının sunucusu ertesi gün çevrimdışına alınsa da Notely uzantısı daha uzun süre canlı kaldı.
Kendinizi Korumak
Bu keşif, DarkSpectre ve CrashFix kampanyalarını da içeren daha büyük bir trendin parçası. Varonis’in kıdemli güvenlik araştırmacısı ve rapor yazarı Daniel Kelley, “kötü amaçlı işlevleri gizlerken yararlı bir şeyler yapan uzantıların tespit edilmesinin zor olduğunu” belirtti.
“Tarayıcınızı düzenli olarak denetlemenizi” ve her gün kullanmadıkları araçları kaldırmanızı öneriyor. Ayrıca, “tüm web sitelerine” erişim izni isteyen herhangi bir uzantıya karşı dikkatli olmanız gerekir; çünkü Stanley, hesaplarınızın kontrolünü tam olarak bu şekilde kazanır.