Um novo esquema de malware como serviço (MaaS) está circulando em fóruns russos de cibercrime, oferecendo um pacote completo para roubo de credenciais bancárias disfarçado de extensão legítima do Google Chrome. O kit, chamado de Stanley, chamou a atenção de pesquisadores por um detalhe alarmante: a promessa de aprovação garantida na Chrome Web Store.
De acordo com as investigações, o serviço é vendido por valores que variam entre US$ 2 mil e US$ 6 mil, dependendo do nível de customização e suporte. O caso foi reportado ao Google e ao provedor de hospedagem em 21 de janeiro de 2026. No dia seguinte, o servidor de comando e controle foi derrubado. Ainda assim, até o momento da publicação, a extensão maliciosa continuava disponível para download na loja oficial.
Um marketplace estruturado do crime digital
O Stanley surgiu pela primeira vez em 12 de janeiro de 2026, anunciado com riqueza de detalhes em fóruns clandestinos. O vendedor, identificado pelo pseudônimo “Стэнли”, afirma sem rodeios que sua extensão “passa pela moderação da Google Store”. A publicação inclui uma lista completa de funcionalidades e um vídeo demonstrativo exibindo ataques contra plataformas conhecidas como Binance e Coinbase.
O modelo é claramente turnkey: o comprador recebe tudo pronto para uso. O pacote mais caro, de US$ 6 mil, se destaca por incluir um painel administrativo completo e a suposta garantia de publicação na Chrome Web Store, o que transfere todo o risco de distribuição para o vendedor e indica a existência de um método consistente para driblar os mecanismos de revisão do Google.
Um painel de controle que parece software corporativo
O material de demonstração mostra uma interface de gerenciamento surpreendentemente profissional. O painel lista todas as vítimas infectadas, identificadas por endereço IP, com status online em tempo real, registro da última atividade e até dados de navegação. Cada infecção pode ser configurada individualmente.
Os operadores definem regras de sequestro de URLs de forma simples: informam o site legítimo a ser interceptado e o endereço da página de phishing. A partir daí, a extensão entra em ação. Mesmo com o domínio correto exibido na barra de endereços, como binance.com, o conteúdo mostrado ao usuário é totalmente controlado pelo atacante.
Além disso, o kit permite o envio de notificações push que aparecem como alertas nativos do Chrome. Essas mensagens exploram a confiança do usuário no navegador e podem redirecionar para qualquer site malicioso, com textos personalizados definidos pelos criminosos.
Como a extensão engana o usuário
Pesquisadores que analisaram uma amostra da extensão descobriram que ela se apresenta como uma ferramenta legítima chamada “Notely”, voltada para criação de anotações e marcadores. Essa funcionalidade realmente existe e funciona, o que ajuda a justificar as permissões extensivas solicitadas e a acumular avaliações positivas antes da ativação do comportamento malicioso.
Entre as permissões concedidas estão acesso total a todos os sites visitados, capacidade de injetar scripts e monitorar a navegação desde o início do carregamento das páginas. Isso permite que a extensão intercepte e modifique qualquer site antes mesmo que o conteúdo legítimo seja exibido.
O identificador usado para rastrear vítimas não é aleatório: o malware utiliza o endereço IP público, facilitando a correlação de atividades e a segmentação geográfica de campanhas. A comunicação com o servidor de comando e controle ocorre a cada dez segundos, garantindo que novas instruções sejam aplicadas quase em tempo real. O sistema ainda conta com domínios de backup para manter a operação ativa mesmo após tentativas de derrubada.
Quando a vítima acessa um site-alvo, a extensão bloqueia o carregamento legítimo e sobrepõe um iframe em tela cheia com a página falsa. Todo o processo acontece de forma invisível para o usuário médio.
O valor está na distribuição, não no código
Do ponto de vista técnico, o código do Stanley não é particularmente sofisticado. As técnicas usadas são conhecidas no meio de segurança e o próprio código apresenta falhas, comentários misturados em russo e inglês e tratamento de erros incompleto. O preço elevado não reflete inovação técnica, mas sim a promessa de distribuição confiável via a loja oficial do Chrome e um painel de controle pronto para uso.
Um problema maior do que um único malware
O caso do Stanley se encaixa em um cenário mais amplo. No fim de 2025, campanhas como as do grupo DarkSpectre comprometeram milhões de usuários de navegadores populares. Já em janeiro de 2026, extensões com centenas de milhares de instalações foram flagradas roubando dados sensíveis, algumas delas inclusive com destaque oficial na loja do Google.
Com o navegador se tornando o principal ponto de acesso a serviços bancários, sistemas corporativos e plataformas de IA, ele passou a ser também o novo endpoint crítico de segurança. Trabalho remoto, uso de dispositivos pessoais e dependência de aplicações SaaS criaram o ambiente perfeito para esse tipo de ataque.
Extensões maliciosas deixaram de ser um vetor secundário. Hoje, elas ocupam o centro da estratégia de grupos criminosos que entenderam uma coisa simples: se você controla o navegador, controla quase tudo.
