Rusya’daki siber suç forumlarında, kurbanları sahte web sitelerine yönlendirirken gerçek alan adını tarayıcılarının adres çubuğunda görünür tutan, tehlikeli yeni bir kötü amaçlı yazılım araç seti satılıyor.
Stanley adı verilen araç setinin maliyeti 2.000 ile 6.000 ABD Doları arasında değişiyor ve Google’ın Chrome Web Mağazası inceleme sürecini geçeceğinin garantisiyle birlikte geliyor. Bu tehdit, tarayıcı güvenliğinin modern siber güvenlikte nasıl kritik bir güvenlik açığı haline geldiğini gösteriyor.
Kurbanlar Binance veya Coinbase gibi hedeflenen sitelere gittiğinde, uzantı, gizli bir iframe (aslında bir web sayfası içindeki bir web sayfası) kullanarak web sitesinin sahte bir versiyonunu gerçek versiyonun üzerine yerleştiriyor.
Meşru alan adı adres çubuğunda görünürken saldırganın kimlik avı sayfası ekranda belirir ve kullanıcıları oturum açma kimlik bilgilerini girmeleri için kandıran ikna edici bir yanılsama yaratır.
Stanley, basit bir not alma uygulaması olan “Notely” görünümüne bürünmüş sahte bir Chrome uzantısı olarak çalışıyor. Uzantı yüklendikten sonra kullanıcının ziyaret ettiği her web sitesini izleme ve kontrol etme izni kazanır.
Araç seti, saldırganların virüs bulaşmış tüm kullanıcıları, IP adreslerini ve tarama geçmişini görebileceği web tabanlı bir kontrol paneli içerir.
Operatörler, talep üzerine belirli korsanlık kurallarını etkinleştirerek bireysel kullanıcıları hassas bir şekilde hedefleyebilir. Ayrıca tarayıcının kendisinden geliyormuş gibi görünen sahte Chrome bildirimleri de göndererek başka bir aldatma katmanı ekleyebilirler.
Kullanıcılara Nasıl Ulaştı?
Stanley’nin en endişe verici yönü, Google inceleme sürecinden geçip meşruiyet kazanmak için tasarlanmış olmasıdır.
Stanley ilk olarak 12 Ocak 2026’da ortaya çıktı ve uzantının “Google Store denetimini geçtiğini” açıkça iddia eden bir liste altında tanıtıldı.
Satıcı bu özelliğin reklamını açıkça yaptı ve uzantı, resmi Chrome Web Mağazası’nda “Notely” adı altında listelendi.
Uzantı, meşru not alma işlevi sunarak, saldırganların kötü amaçlı özellikleri etkinleştirmesinden önce olumlu eleştiriler topladı.
Uygulama mağazalarının bu “bir kez inceleyin, istediğiniz zaman güncelleyin” modeli, geliştiricilerin ilk onayın ardından kötü amaçlı güncellemeleri binlerce kullanıcıya göndermesine olanak tanır.
Kurban, saldırganın kontrolündeki içeriği görür ve bu içerikle etkileşime girerken, tarayıcının URL çubuğu binance.com’u görüntüler.
21 Ocak 2026’da güvenlik araştırmacıları Stanley’yi Google’a ve barındırma sağlayıcısına bildirdi. Komuta ve kontrol sunucusu ertesi gün çevrimdışı oldu, ancak kötü amaçlı uzantı diğer kurbanlar için Chrome Web Mağazası’nda yayında kaldı.
Teknik Detaylar
Araç setinin kendisi nispeten basit teknikler kullanıyor. Uzantı, her 10 saniyede bir kontrol sunucusuna giriş yaparak, ele geçirme talimatlarını bekliyor.
Gösterimde genel bir “yeni yer imi mevcut” mesajı gösterilmektedir, ancak operatörler istediklerini yazabilir ve bunu herhangi bir yönlendirme URL’siyle eşleştirebilirler.
Kurbanların IP adreslerini benzersiz tanımlayıcılar olarak kullanarak saldırganların insanları coğrafi olarak hedeflemesine veya kullanıcıları birden fazla tarayıcı arasında ilişkilendirmesine olanak tanır.
Kod, Rusça yorumlar ve yedek alan adları içeriyor ve kötü amaçlı yazılımın birincil sunucusu kapatılsa bile iletişimi sürdürmesine olanak tanıyor.
Bu araç seti, tarayıcı tabanlı saldırılarda temel bir değişimi temsil ediyor. Geçtiğimiz iki ay boyunca güvenlik topluluğu DarkSpectre’ı (8,8 milyon kullanıcıyı etkiliyor), ChatGPT konuşmalarını çalan sahte AI uzantılarını ve CrashFix kötü amaçlı yazılımını belgeledi.
Bunlar münferit olaylar değil, tarayıcı uzantılarının birincil saldırı vektörü haline geldiğini gösteriyor.
Kuruluşlar için en iyi savunma, uzantıların Chrome Enterprise veya Edge for Business aracılığıyla sıkı bir şekilde izin verilenler listesine eklenmesi ve açıkça onaylanan araçlar dışında her şeyin engellenmesidir.
Bireysel kullanıcılar için öneri daha basittir: Uzantılarınızı düzenli olarak denetleyin ve aktif olarak kullanmadığınız her şeyi kaldırın. “Tüm web sitelerine” veya “göz atma geçmişine” erişim isteyen uzantılar kırmızı bayraklara neden olmalıdır.
Uygulama mağazası inceleme süreçleri mevcut modelin ötesine geçene kadar, kötü amaçlı uzantılar güvenlik kontrollerini atlamaya ve milyonlarca kullanıcıya ulaşmaya devam edecek.
Uzlaşma göstergeleri
| Tip | Değer |
|---|---|
| C2 Alanı | api.notely.fun |
| C2 Giriş Paneli | notly.fun/login |
| API Uç Noktası | http://api.notely.fun/api |
| IP Adresi | 72.61.83.67 |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.