يشكّل برنامج “ستانلي” الخبيث الجديد، الذي ظهر في يناير 2026، تهديدًا متطورًا يستهدف متصفحات الإنترنت، حيث يقوم بإعادة توجيه المستخدمين إلى مواقع وهمية مع الحفاظ على عنوان URL الأصلي، بهدف سرقة بيانات الاعتماد والمعلومات المالية. هذا البرنامج، الذي يُباع كخدمة، يمثل قلقًا متزايدًا في عالم الأمن السيبراني.
تم اكتشاف برنامج “ستانلي” الخبيث لأول مرة في 12 يناير 2026، على منتديات الجريمة السيبرانية الناطقة باللغة الروسية، تحت اسم مستعار للبائع “Стэнли”. وقد أثارت هذه الأداة قلق خبراء الأمن بسبب قدرتها على خداع المستخدمين بفعالية، مما يجعلهم يعتقدون أنهم يتفاعلون مع مواقع ويب شرعية.
برنامج ستانلي: تكتيكات جديدة في هجمات المتصفح
يُعرف برنامج “ستانلي” بأنه حزمة برمجيات خبيثة كخدمة (Malware-as-a-Service)، ويتراوح سعره بين 2000 و 6000 دولار أمريكي. والسمة الأكثر إثارة للقلق في هذه الأداة هي قدرتها على عرض صفحات ويب مزيفة للمستخدمين، بينما يظل شريط عنوان المتصفح يعرض عنوان URL للموقع الأصلي، مما يؤدي إلى تضليل المستخدمين وإيهامهم بأنهم يقومون بزيارة مواقع حقيقية.
من جهة أخرى، فإن الوعد بضمان النشر على متجر Chrome الإلكتروني من قبل البائع يزيد من خطورة الأمر، حيث يعكس هذا إمكانية وصول هذا البرنامج الضار إلى المستخدمين مباشرة عبر القناة الرسمية لمتصفح جوجل كروم، مما يمنحه غطاءً شرعيًا وهو يقوم بتنفيذ هجمات انتحال المواقع.
تخفي الأداة نفسها تحت اسم “Notely”، وهو تطبيق للملاحظات والإشارات المرجعية، مما يمنحها واجهة تبدو بريئة تسمح لها بتنفيذ هجمات انتحال المواقع دون إثارة الشكوك الأولية. وقد قام باحثو Varonis بتحديد وتتبع هذه الأداة بعد تحليل قدراتها التقنية وطرق توزيعها.
آلية عمل برنامج ستانلي
يعمل برنامج “ستانلي” عبر لوحة تحكم قائمة على الويب، تسمح للمهاجمين باختيار الضحايا الأفراد وتحديد قواعد اختطاف المواقع. بمجرد اختيار الهدف، يقوم المشغلون بتعيين عنوان URL المصدر (الموقع الشرعي الذي سيتم اختطافه) وعنوان URL المستهدف (صفحة التصيد التي أنشأها المهاجم).
تقوم الإضافة بعد ذلك باعتراض زيارة الضحية للموقع الحقيقي، ثم تعرض ما يشبه تراكبًا على كامل الشاشة عبر إطار مضمن (iframe) يحتوي على النسخة المزيفة، كل ذلك أثناء عرض شريط عنوان المتصفح لنطاق الموقع الشرعي.
تعتمد آلية الإصابة على أذونات امتداد المتصفح التي تمنح تحكمًا شبه كامل في نشاط تصفح المستخدم. فور التثبيت، يتم تشغيل كود “ستانلي” في أقرب وقت ممكن أثناء تحميل الصفحة، قبل ظهور أي محتوى شرعي.
يستخدم الامتداد عنوان IP الخاص بالضحية كمعرف فريد، مما يتيح للمهاجمين استهداف أشخاص معينين، بل وحتى ربط المستخدمين عبر متصفحات وأجهزة متعددة. كل عشر ثوانٍ، يتواصل الامتداد مع خادم القيادة والتحكم الخاص بالمهاجم لتلقي تعليمات اختطاف محدثة.
يطبق “ستانلي” تناوبًا احتياطيًا للنطاقات لضمان البقاء حتى في حال قيام السلطات بإسقاط الخادم الأساسي. ويعني هذا أن الامتداد يقوم تلقائيًا بالتبديل بين النطاقات الاحتياطية للحفاظ على السيطرة التشغيلية.
حتى الآن، تأثرت آلاف المستخدمين بهذه الأداة، حيث تعرض لوحة القيادة عناوين IP للضحايا وحالة الاتصال عبر الإنترنت والطوابع الزمنية لآخر نشاط. وينصح الخبراء المؤسسات بتبني سياسات صارمة لقائمة السماح بالامتدادات، بينما يحتاج المستخدمون الأفراد إلى تقليل عدد الامتدادات المثبتة لديهم وتدقيق طلبات الأذونات بعناية.
تبقى المشكلة الأعمق هي أن أسواق امتدادات المتصفحات تقبل الامتدادات مرة واحدة وتسمح بالتحديثات في أي وقت، مما يعني أن التحديثات الخبيثة يمكن أن تتسلل بعد المراجعة الأولية.