Trong bối cảnh các cuộc tấn công trình duyệt ngày càng tinh vi và có tổ chức, một mối đe dọa mới mang tên Stanley đã được phát hiện vào tháng 1 năm 2026, nhấn mạnh mức độ nghiêm trọng của vấn đề này. Stanley là một bộ công cụ mã độc dạng dịch vụ (Malware-as-a-Service – MaaS) được thiết kế để đánh cắp thông tin đăng nhập và dữ liệu tài chính thông qua việc hiển thị các trang web giả mạo trong khi thanh địa chỉ vẫn hiển thị URL hợp pháp.
Stanley: Bộ công cụ Mã độc Dịch vụ (MaaS) mới
Bộ công cụ Stanley, được định giá từ 2.000 USD đến 6.000 USD, xuất hiện lần đầu tiên vào ngày 12 tháng 1 năm 2026 trên các diễn đàn tội phạm mạng. Điểm đáng lo ngại nhất là người bán cam kết sẽ được phê duyệt và xuất bản trên Chrome Web Store, cho phép tiện ích độc hại này được tải xuống trực tiếp từ cửa hàng chính thức của Google.
Stanley ngụy trang dưới dạng một ứng dụng ghi chú và đánh dấu trang hợp pháp có tên “Notely”, tạo vỏ bọc an toàn trong khi thực hiện các cuộc tấn công giả mạo trang web.
Kỹ thuật Giả mạo Trang web Độc đáo
Kỹ thuật chính của Stanley là khả năng hiển thị các trang web giả mạo cho người dùng trong khi thanh địa chỉ của trình duyệt vẫn hiển thị URL hợp pháp. Khi nạn nhân truy cập một trang web mục tiêu, tiện ích mở rộng sẽ chặn yêu cầu và phủ lên toàn màn hình một iframe chứa phiên bản giả mạo của trang web. Kỹ thuật này đánh lừa người dùng hoàn toàn, khiến họ tin rằng mình đang tương tác với trang web thật.
Cơ chế này khai thác cách thức trình duyệt hiển thị nội dung và quản lý các tiện ích mở rộng, tạo ra một màn hình giả lập hoàn hảo để lừa đảo thông tin đăng nhập và dữ liệu tài chính nhạy cảm.
Cơ chế Hoạt động và Lây nhiễm trong các cuộc tấn công trình duyệt
Các nhà nghiên cứu tại Varonis đã phân tích và xác định chi tiết các khả năng kỹ thuật và phương pháp phân phối của Stanley. Bộ công cụ này hoạt động thông qua một bảng điều khiển dựa trên web, cho phép kẻ tấn công chọn từng nạn nhân và cấu hình các quy tắc chiếm đoạt trang web cụ thể. Nghiên cứu của Varonis cung cấp cái nhìn sâu sắc về cách thức hoạt động của bộ công cụ này.
Quy trình Tấn công
Sau khi mục tiêu được chọn, kẻ tấn công sẽ thiết lập một URL nguồn (trang web hợp pháp cần chiếm đoạt) và một URL đích (trang lừa đảo của kẻ tấn công). Tiện ích mở rộng sau đó sẽ can thiệp khi nạn nhân truy cập trang web thực, chèn một iframe chứa nội dung độc hại mà không thay đổi thanh địa chỉ của trình duyệt.
Quyền hạn Mở rộng Trình duyệt
Cơ chế lây nhiễm của Stanley dựa vào các quyền hạn mở rộng trình duyệt. Khi được cài đặt, tiện ích này yêu cầu và được cấp các quyền kiểm soát gần như hoàn toàn đối với hoạt động duyệt web của người dùng. Mã của Stanley chạy ở thời điểm sớm nhất có thể trong quá trình tải trang, trước khi bất kỳ nội dung hợp pháp nào xuất hiện. Điều này đảm bảo rằng trang giả mạo được hiển thị ngay lập tức, làm tăng hiệu quả của cuộc tấn công trình duyệt.
Giao tiếp với Máy chủ Điều khiển (C2)
Tiện ích mở rộng Stanley giao tiếp với máy chủ điều khiển (C2) của kẻ tấn công cứ mười giây một lần để nhận các hướng dẫn chiếm đoạt được cập nhật. Địa chỉ IP của nạn nhân được sử dụng làm một định danh duy nhất, cho phép kẻ tấn công nhắm mục tiêu cụ thể và thậm chí tương quan người dùng trên nhiều trình duyệt và thiết bị khác nhau.
Duy trì Hoạt động: Cơ chế Xoay Vòng Tên miền Dự phòng
Để đảm bảo khả năng sống sót ngay cả khi máy chủ chính bị gỡ bỏ, Stanley triển khai cơ chế xoay vòng tên miền dự phòng. Tiện ích mở rộng này tự động luân chuyển qua các tên miền dự phòng để duy trì kiểm soát hoạt động, làm tăng tính bền bỉ và khó khăn trong việc vô hiệu hóa toàn bộ cơ sở hạ tầng của mã độc. Điều này thể hiện sự chuẩn bị kỹ lưỡng của những kẻ tạo ra mã độc Stanley.
Phạm vi Ảnh hưởng và Rủi ro Bảo mật
Stanley đã xâm phạm hàng nghìn người dùng. Bảng điều khiển C2 của kẻ tấn công hiển thị các địa chỉ IP của nạn nhân, trạng thái trực tuyến và dấu thời gian hoạt động gần nhất. Điều này cho thấy quy mô và mức độ hiệu quả của các cuộc tấn công trình duyệt do Stanley thực hiện, gây ra rủi ro bảo mật nghiêm trọng cho người dùng cá nhân và tổ chức.
Các Biện pháp Phòng ngừa và Giảm thiểu
Để chống lại các mối đe dọa như Stanley và tăng cường an ninh mạng, cả doanh nghiệp và người dùng cá nhân cần áp dụng các biện pháp phòng ngừa chặt chẽ.
Đối với Doanh nghiệp
- Chính sách Cho phép Tiện ích Mở rộng Nghiêm ngặt (Extension Allowlisting): Các doanh nghiệp nên xem xét áp dụng chính sách cho phép tiện ích mở rộng nghiêm ngặt, chỉ cho phép cài đặt những tiện ích đã được phê duyệt và kiểm tra kỹ lưỡng.
- Giám sát Hoạt động Mạng: Triển khai các giải pháp phát hiện xâm nhập (IDS) và hệ thống quản lý thông tin và sự kiện bảo mật (SIEM) để giám sát hoạt động mạng bất thường, đặc biệt là lưu lượng truy cập liên quan đến các tiện ích trình duyệt.
- Đào tạo Nhận thức Bảo mật: Thường xuyên đào tạo nhân viên về các mối đe dọa lừa đảo (phishing) và kỹ thuật giả mạo trang web để nâng cao nhận thức về các cuộc tấn công tiềm tàng.
Đối với Người dùng Cá nhân
- Giảm thiểu Tiện ích Mở rộng Đã Cài đặt: Hạn chế số lượng tiện ích mở rộng được cài đặt trong trình duyệt. Mỗi tiện ích bổ sung là một điểm truy cập tiềm năng cho các cuộc tấn công.
- Kiểm tra Kỹ lưỡng Yêu cầu Quyền: Luôn kiểm tra cẩn thận các yêu cầu về quyền hạn khi cài đặt bất kỳ tiện ích mở rộng nào. Tránh cấp quyền truy cập rộng rãi nếu không thực sự cần thiết.
- Cập nhật Trình duyệt Thường xuyên: Đảm bảo trình duyệt luôn được cập nhật lên phiên bản mới nhất để nhận các bản vá bảo mật quan trọng.
- Sử dụng Giải pháp Bảo mật: Cài đặt và duy trì phần mềm chống vi-rút và chống mã độc uy tín để phát hiện và ngăn chặn các mối đe dọa.
Thách thức từ Thị trường Mở rộng Trình duyệt
Vấn đề sâu xa hơn nằm ở cách thức các thị trường tiện ích mở rộng trình duyệt phê duyệt tiện ích. Thông thường, một tiện ích chỉ được kiểm tra một lần khi nộp ban đầu, nhưng lại được phép cập nhật bất cứ lúc nào mà không cần quy trình xem xét lại tương tự. Điều này có nghĩa là các bản cập nhật độc hại có thể lọt qua sau quá trình đánh giá ban đầu, biến một tiện ích hợp pháp thành một công cụ độc hại, gây ra rủi ro bảo mật đáng kể cho người dùng. Đây là một lỗ hổng trong quy trình quản lý mà kẻ tấn công như mã độc Stanley đã khai thác hiệu quả.
