Tarayıcı saldırıları eskisinden çok daha tehlikeli ve organize hale geldi. Ocak 2026’da keşfedilen Stanley adlı yeni bir tehdit, sorunun ne kadar ciddi hale geldiğini gösteriyor.
Fiyatı 2.000 ila 6.000 ABD Doları arasında olan bu hizmet olarak kötü amaçlı yazılım araç seti özellikle aldatıcı bir şey yapıyor: URL çubuğu meşru adresi göstermeye devam ederken kullanıcılara sahte web siteleri gösteriyor.
İnsanları gerçek web sitelerini ziyaret ettiklerini düşünmeleri için kandırarak oturum açma kimlik bilgilerini ve finansal bilgileri çalmak üzere tasarlanmıştır.
Stanley ilk olarak 12 Ocak 2026’da satıcının “Стэнли” takma adı altında Rusça siber suç forumlarında göründü.
Bu araç setini özellikle endişe verici kılan şey, satıcının Chrome Web Mağazası’nda garantili yayınlanma sözü vermesidir; bu, kötü amaçlı uzantının doğrudan Google’ın resmi mağazasından indirilebileceği anlamına gelir.
Araç seti, kendisini bir notlar ve yer imleri uygulaması olan “Notely” olarak gizleyerek, web sitesi sahtekarlığı saldırıları gerçekleştirirken ona yasal bir koruma sağlıyor.
.webp)
Varonis araştırmacıları, teknik yeteneklerini ve dağıtım yöntemlerini analiz ettikten sonra araç setini not edip belirlediler.
Güvenlik ekibi, Stanley’nin, saldırganların bireysel kurbanları seçtiği ve web sitesi ele geçirme kurallarını yapılandırdığı web tabanlı bir kontrol paneli aracılığıyla çalıştığını keşfetti.
Bir hedef seçildikten sonra operatörler bir kaynak URL (ele geçirilecek meşru site) ve bir hedef URL (saldırganın kimlik avı sayfası) ayarlar.
.webp)
Uzantı daha sonra kurban gerçek web sitesini ziyaret ettiğinde müdahale ediyor ve sahte sürümü içeren tam ekran bir iframe’i kaplıyor; bu sırada tarayıcının adres çubuğu meşru alanı gösteriyor.
Stanley Mağdurlara Nasıl Bulaşıyor ve Kontrol Ediyor?
Bulaşma mekanizması, kullanıcının göz atma etkinliği üzerinde neredeyse tam kontrol sağlayan tarayıcı uzantısı izinlerine dayanır.
Stanley’nin kodu yüklendikten sonra, sayfa yüklenirken mümkün olan en kısa sürede, herhangi bir meşru içerik görünmeden önce çalışır.
Uzantı, kurbanın IP adresini benzersiz bir tanımlayıcı olarak kullanarak saldırganların belirli kişileri hedeflemesine ve hatta birden fazla tarayıcı ve cihazdaki kullanıcıları ilişkilendirmesine olanak tanıyor.
Uzantı, her on saniyede bir saldırganın komuta ve kontrol sunucusuyla iletişim kurarak güncellenmiş korsanlık talimatlarını alıyor.
Stanley, yetkililer birincil sunucuyu kapatsa bile hayatta kalmayı sağlamak için yedek alan adı rotasyonunu uyguluyor.
Bu, uzantının operasyonel kontrolü sürdürmek için yedek etki alanları arasında otomatik olarak geçiş yaptığı anlamına gelir.
Kurbanların IP adreslerini, çevrimiçi durumunu ve son etkinlik zaman damgalarını görüntüleyen komut ve kontrol paneliyle araç seti halihazırda binlerce kullanıcının güvenliğini ihlal etti.
Kuruluşlar, katı uzantı izin verilenler listesine ekleme politikalarını dikkate almalı, bireysel kullanıcıların ise yüklü uzantılarını azaltması ve izin isteklerini dikkatle incelemesi gerekiyor.
Daha derin bir sorun, tarayıcı uzantısı pazarlarının uzantıları bir kez onaylaması ve güncellemelere her zaman izin vermesidir; bu, kötü amaçlı güncellemelerin ilk incelemeden sonra gözden kaçabileceği anlamına gelir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
