Source : Varonis — Le billet met en lumière « Stanley », un nouveau toolkit malveillant qui se distingue par sa capacité à usurper des sites web tout en gardant la barre d’adresse intacte, et par sa promesse d’obtenir l’approbation du Chrome Web Store pour ses composants.

Le cœur de l’information est la présentation de capacités d’usurpation avancées permettant d’afficher de fausses pages sans altérer l’URL visible par l’utilisateur, un élément généralement rassurant pour les victimes 🎭.

Le toolkit Stanley est une offre de Malware-as-a-Service (MaaS) apparue début janvier 2026 sur des forums cybercriminels russophones. Vendu entre 2 000 et 6 000 USD, il se distingue par une garantie de publication sur le Chrome Web Store, ce qui abaisse fortement la barrière d’entrée pour des attaques à grande échelle via extensions de navigateur.

Distribué sous la forme d’une extension Chrome se présentant comme une application légitime de prise de notes et de favoris (“Notely”), Stanley permet aux attaquants de détourner silencieusement des sites web légitimes (Binance, Coinbase, etc.) tout en conservant l’URL originale dans la barre d’adresse. L’utilisateur interagit alors avec une page de phishing sans aucun indicateur visuel suspect.

Le kit inclut :

  • un panneau C2 web pour gérer les victimes,

  • des fonctions de spoofing de pages web en plein écran via iframe,

  • l’envoi de notifications Chrome légitimes pour attirer l’utilisateur,

  • un système de rotation de domaines C2 pour la résilience.

L’extension utilise des permissions étendues (<all_urls>, webNavigation, notifications) et injecte du code dès le chargement des pages (document_start). Les victimes sont identifiées par leur adresse IP, facilitant le ciblage géographique et individuel.

Bien que l’infrastructure C2 principale ait été mise hors ligne après signalement, le risque demeure élevé : le modèle économique, la modularité et la capacité à contourner la modération des stores rendent ce type de menace durable et reproductible.

🎯 TTPs (MITRE ATT&CK – extraits)

Initial Access

T1176 – Browser Extensions Extension malveillante publiée sur le Chrome Web Store.

Execution

T1059.007 – JavaScript Injection de scripts côté navigateur dès le chargement de la page.

Persistence

T1176 – Browser Extensions Persistance assurée tant que l’extension reste installée.

Command & Control

T1071.001 – Web Protocols (HTTP/HTTPS) Communication régulière avec l’infrastructure C2.

T1008 – Fallback Channels Rotation automatique de domaines C2 de secours.

Credential Access / Collection

T1056.001 – Input Capture: Web Forms Vol d’identifiants via pages web usurpées.

T1114 – Email/Account Credential Harvesting (indirect) Ciblage de plateformes financières et comptes en ligne.

Defense Evasion

T1036 – Masquerading Extension légitime en apparence, fonctionnalités bénignes réelles.

T1204.002 – User Execution: Malicious Extension L’utilisateur installe volontairement l’extension.

🧾 IOCs connus 🌐 Domaines / Infrastructure C2

api.notely.fun

notely.fun

notely.fun/login

🧩 Extension malveillante

Nom affiché : Notely

Type : Extension Chrome (prise de notes / favoris)

Permissions sensibles :

<all_urls>

tabs

webNavigation

notifications

storage

Injection : content.js exécuté à document_start

🔁 Endpoints C2 observés

/extension/{ip}/bookmarks-access

/extension/{ip}/notes-sync

/extension/{ip}/notification-delivered

/backup-domains/active

Il s’agit d’une publication de recherche présentant un nouvel outil malveillant et ses capacités, afin d’illustrer une menace émergente.

🔗 Source originale : https://www.varonis.com/blog/stanley-malware-kit

🖴 Archive : https://web.archive.org/web/20260126180231/https://www.varonis.com/blog/stanley-malware-kit