在%20Windows%20系统中，应用申请弹窗权限本用于系统警告或社交互动。然而，系统难以辨别插件发送信息的真伪，这为%20Stanley%20套件实施弹窗钓鱼提供了温床。

//%20代码片段：伪造系统通知推送逻辑
function showPhishingNotification(cmd) {
 %20  const notifId%20= 'phish_' + Date.now();
 %20 %20chrome.notifications.create(notifId,%20{
 %20 %20 %20  type: 'basic',
 %20 %20 %20  iconUrl: 'icon.png', // 需确保存放于根目录
        title: cmd.title || "系统安全警告",
        message: cmd.message || "检测到安全异常，请立即处理",
        priority: 2,
        requireInteraction: true
    }, () => { /* ... 异常处理及权限校验 ... */ });

    // 监听通知点击行为，跳转至恶意钓鱼 URL
    chrome.notifications.onClicked.addListener((id) => {
        if (id === notifId) {
            chrome.tabs.create({ url: cmd.url });
        }
    });
}

当黑产团伙在后台执行指令时，可自定义钓鱼跳转地址。

控制端下发弹窗指令操作

自定义钓鱼重定向 URL

系统右下角弹出的仿真伪造通知

如上图所示，插件接收指令后调用 Chrome 的通知设置功能发送弹窗。对于安全意识薄弱的用户，此类弹窗极具诱导性。

弹窗引导跳转至的高仿真钓鱼页面

受害者点击弹窗后会被引导至上图所示的钓鱼页面。攻击者通常会在此诱导用户下载并运行带有远控木马的 .zip 程序，从而达成从“窃密插件”到“完全控制”的权限跨越。

防御要点：规避此类攻击最根本的方法是收敛通知权限。在 Windows 的“通知和操作设置”中关闭 Google Chrome 的通知权限，即可让此类恶意弹窗失效。

通过系统设置关闭 Chrome 通知权限

黑色产业链条与供应链攻击梳理

Solar 应急响应团队在长期跟踪中发现，当前的黑灰产已形成极其成熟的供应链机制。

BHF 论坛非法权限交易现状

ExodusMarket 凭证泄露交易市场

思而听针对黑产权限售卖深度分析报告图示

通过深度分析，我们可以完整还原 Stanley 黑产链条的运作逻辑：

1.开发者端：Stanley 提供者开发恶意插件并利用技术手段确保其通过谷歌商店审核上架。

2.获取端：境外黑产组织利用上架插件大规模获取用户凭证，并前往 ExodusMarket 进行初步售卖。

3.武器化：黑产组织购买 Cruciferra 的免杀加壳服务，对 C2 控制端进行加固。

4.权限变现：通过投放钓鱼链接获取系统权限后，最终将主机权限转卖给 BHF 交易平台的下游团伙（如勒索家族）进行勒索赎金获取。

针对 Stanley 黑色产业链条的全流程梳理图

总结与防范策略建议

通过对 Stanley 恶意插件套件的深度拆解，我们不难发现，当前的境外间谍攻击已演变为“隐蔽插件窃密”与“主动钓鱼远控”双线并行的复杂态势。从上架谷歌商店的规避策略，到利用全透明 iframe 实现的“无感劫持”，再到末端高度成熟的黑产权限交易，整条产业链展现出极高的专业化水平。

特别值得警惕的是，这种基于浏览器插件的窃密手段，往往是更深层次渗透攻击（如 银狐木马）的前奏。在 Solar 应急响应团队 近期处理的【银狐应急复盘】伪装搜狗输入法的银狐木马，从深度溯源到彻底清除的闭环响应实录中，攻击者同样利用了受害者对常用办公软件（插件）的盲目信任。两者本质上均属于供应链攻击与社会工程学的深度结合：前者通过劫持浏览器生态获取身份凭证，后者则通过伪装合法软件获取系统级控制权。

为了有效抵御此类高维度的技术渗透，Solar 应急响应团队 给出以下针对性防范建议：

1. 终端防御颗粒度收敛

• 阻断主动钓鱼路径：在 Windows “通知和操作设置”中，务必关闭 Google Chrome 及其他浏览器的通知权限。此举可从系统权限层面封死恶意插件下发钓鱼弹窗、诱导下载远控木马的通道。
• 插件白名单策略：企业应通过组策略（GPO）强制执行浏览器插件白名单制度，禁止员工私自加载“未打包的扩展程序”或安装未经安全审计的第三方插件。

2. 身份凭证与会话安全加固

• 强制执行 MFA 机制：鉴于恶意插件能够实时窃取全量 Cookie 以绕过常规密码校验，企业关键业务系统必须强制开启多因素认证（MFA）或硬件安全令牌。
• 定期清理会话缓存：养成定期清理浏览器冗余插件及过期 Cookie 的习惯。针对已下线的受害主机，应立即在服务端强制注销所有活动会话（Session），防止攻击者利用“长效控权”机制进行持续渗透。

3. 供应链风险监测

• 持续性心跳监控：安全团队应加强对 Service Worker 及插件后台流量的监控。若发现异常的外部 C2 域名心跳请求（如本案中的 api.ipify.org 或非合规 API 接口），应立即触发应急预案。
• 溯源关联分析：加强对地下黑产论坛（如 BHF、ExodusMarket）的情报监测。一旦发现企业内部员工凭证泄露或权限交易信息，应立即参照银狐木马排查实录中的方法进行全盘深度追溯。

2025年-至今被披露的高危恶意扩展程序清单

针对日益严峻的浏览器插件安全态势，Solar 应急响应团队根据 2025 年至今的监测数据，系统性地整理并汇总了被公开点名的“后门/恶意”浏览器扩展清单，旨在协助企业及个人用户快速进行资产对标与威胁排查。

| 类别 / 战线 | 时间 (披露/报道) | 插件名称 | 平台 | 安装量 (公开报道) | 恶意能力 / 行为摘要 | | — | — | — | — | — | — | | A）DarkSpectre / ShadyPanda | 2025-12 (回溯至2024) | Clean Master | Chrome | 20 万 (检测时) | 供应链投毒植入后门：每小时轮询指令，下载执行任意 JS (RCE)，外传浏览 URL、指纹等。(BleepingComputer) | | A）DarkSpectre / ShadyPanda | 2025年12月 | Clean Master 同批载荷集合 | Chrome | 30 万 (总量) | 同上（同载荷批次累计装机量）。(BleepingComputer) | | A）DarkSpectre / ShadyPanda | 2025年12月 | WeTab 新标签页 | Edge | 300 万 (仍可见时) | 间谍型扩展：采集浏览历史、搜索、按键、指纹、Cookie 等外传；具备下发后门权限。(BleepingComputer) | | A）DarkSpectre / ShadyPanda | 2025年12月 | Infinity New Tab (Pro) | Edge | 65 万 (仍可见时) | 同上（同出版方体系的间谍采集能力）。(BleepingComputer) | | A）DarkSpectre / ShadyPanda | 2025-12 (回溯至2024) | Infinity V+ | 浏览器扩展 | 未披露 | 出现搜索劫持、Cookie/搜索词外传等行为。(BleepingComputer) | | B）DarkSpectre / Zoom Stealer | 2025/12/30 | Chrome Audio Capture | Chrome | 80 万 | 申请大量权限，从会议页面 (Zoom/Teams等) 抽取 URL、ID、密码、讲者信息并实时外传。(BleepingComputer) | | B）DarkSpectre / Zoom Stealer | 2025/12/30 | Twitter X Video Downloader | Chrome | 未披露 | 同批次被点名“可用但带窃取逻辑”的扩展之一。(BleepingComputer) | | C）RedDirection (2025-07) | 2025年7月 | Emoji keyboard online | Chrome | 未披露 (批次总量200万+) | 流量劫持/重定向/注入类行为，具备远程控制特征。(Malwarebytes) | | C）RedDirection (2025-07) | 2025年7月 | Free Weather Forecast | Chrome | 同上 | 同上。(Malwarebytes) | | C）RedDirection (2025-07) | 2025年7月 | Unblock TikTok | Chrome | 同上 | 同上。(Malwarebytes) | | C）RedDirection (2025-07) | 2025年7月 | Geco colorpick | Chrome | 同上 | 同上。(Malwarebytes) | | C）RedDirection (2025-07) | 2025年7月 | Weather | Chrome | 同上 | 同上。(Malwarebytes) | | C）RedDirection (2025-07) | 2025年7月 | Unlock TikTok | Edge | 未披露 (批次总量200万+) | 同上。(Malwarebytes) | | D）GitLab (2025-02) 通告 | 2025/2/19 | Blipshot | 浏览器扩展 | 未披露 (影响约320万) | 通告披露为恶意扩展之一。(GitLab) | | D）GitLab (2025-02) 通告 | 2025/2/19 | Emojis – Emoji Keyboard | 浏览器扩展 | 同上 | 同上。(GitLab) | | D）GitLab (2025-02) 通告 | 2025/2/19 | WAToolkit | 浏览器扩展 | 同上 | 同上。(GitLab) | | D）GitLab (2025-02) 通告 | 2025/2/19 | Color Changer for YouTube | 浏览器扩展 | 同上 | 同上。(GitLab) | | D）GitLab (2025-02) 通告 | 2025/2/19 | Video Effects for YouTube… | 浏览器扩展 | 同上 | 同上。(GitLab) | | E）企业凭据窃取 (2026-01) | 2026年1月 | Workday WorkSphere | Chrome | 700+ | 伪装成企业工具，仿冒登录页窃取 ERP/HR 系统凭据。(The Hacker News) | | E）企业凭据窃取 (2026-01) | 2026年1月 | WorkdayOptimizer | Chrome | 900+ | 同上。(The Hacker News) | | E）企业凭据窃取 (2026-01) | 2026年1月 | Workday Rising | Chrome | 800+ | 同上。(The Hacker News) | | E）企业凭据窃取 (2026-01) | 2026年1月 | DataByCloud | Chrome | 1,000+ | 同上。(The Hacker News) |

Solar 应急响应团队寄语：

网络空间的博弈往往发生在“无感”之间。无论是利用 Stanley 插件实现的透明劫持，还是伪装成搜狗输入法的银狐木马 投毒，攻击者的最终目的都是在用户防范意识的边缘寻找突破口。

作为专业的安全守护者，Solar 应急响应团队始终站在抗击黑产的最前线。若您的企业检测到异常的浏览器行为、系统弹窗或疑似凭证泄露风险，请及时联系我们。我们将凭借深厚的实战经验与先进的溯源技术，为您构筑坚不可摧的安全防线。

关注 Solar 应急响应团队，掌握第一手深度黑产拆解实录，共同抵御境外渗透威胁。

参考文章：

https://www.varonis.com/blog/stanley-malware-kit

https://www.bleepingcomputer.com/news/security/new-malware-service-guarantees-phishing-extensions-on-chrome-web-store/

以下是solar安全团队近期处理过的常见勒索病毒后缀：

| | | | | — | — | — | | 收录时间 | 病毒家族 | 相关文章 | | 2025/01/14 | Medusalocker | 【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析 【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析 | | 2025/01/15 | Medusa | 【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析 | | 2024/12/11 | weaxor | 【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！ | | 2024/10/23 | RansomHub | 【病毒分析】Ransom Hub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析 | | 2024/11/23 | Fx9 | 【病毒分析】Fx9家族首次现身！使用中文勒索信，熟练勒索谈判 | | 2024/11/04 | Makop | 【病毒分析】揭秘.mkp后缀勒索病毒！Makop家族变种如何进行可视化加密？ | | 2024/06/26 | moneyistime | 【病毒分析】使用中文勒索信及沟通：MoneyIsTime 勒索家族的本地化语言转变及其样本分析 | | 2024/04/11 | babyk | 【病毒分析】BabyK加密器分析-Windows篇 【病毒分析】Babyk加密器分析-NAS篇 【病毒分析】Babyk加密器分析-EXSI篇 【病毒分析】Babuk家族babyk勒索病毒分析 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/09/29 | lol | 【病毒分析】全网首发！全面剖析.LOL勒索病毒，无需缴纳赎金，破解方案敬请期待下篇！ 【工具分享】.LOL勒索病毒再也不怕！完整破解教程分享+免费恢复工具首发 | | 2024/06/10 | MBRlock | 【病毒分析】假冒游戏陷阱：揭秘MBRlock勒索病毒及其修复方法 | | 2024/06/01 | Rast gang | 【病毒分析】Steloj勒索病毒分析 | | 2024/06/01 | TargetOwner | 【病毒分析】技术全面升级，勒索赎金翻倍，新版本TargetOwner勒索家族强势来袭？ | | 2024/11/02 | Lockbit 3.0 | 【病毒分析】Lockbit家族Lockbit 3.0加密器分析 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 【病毒分析】繁体勒索信暗藏玄机！要价50万RMB赎金的Lockbit泄露版分析 | | 2024/05/15 | Wormhole | 【病毒分析】Wormhole勒索病毒分析 | | 2024/03/20 | tellyouthepass | 【病毒分析】locked勒索病毒分析 【病毒分析】中国人不骗中国人？_locked勒索病毒分析 | | 2024/03/01 | lvt | 【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析 | | 2024/03/04 | phobos | 【病毒分析】phobos家族2700变种加密器分析报告 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 【病毒分析】phobos家族faust变种加密器分析 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 【病毒分析】phobos家族Elbie变种加密器分析报告 | | 2024/03/28 | DevicData | 【病毒分析】DevicData勒索病毒分析 【病毒分析】DevicData家族扩散：全球企业和机构成为勒索病毒头号攻击目标！ | | 2024/02/27 | live | 【病毒分析】独家揭秘LIVE勒索病毒家族之1.0（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之1.5（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之2.0（全版本可解密） | | 2024/08/16 | CryptoBytes | 【独家破解】揭秘境外黑客组织的20美元锁机病毒：深度逆向分析+破解攻略！赎金？给你付个🥚 | | 2024/03/15 | mallox | 【病毒分析】mallox家族malloxx变种加密器分析报告 【病毒分析】Mallox勒索家族新版本：加密算法全面解析 【病毒分析】全网首发！袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 【病毒分析】mallox家族rmallox变种加密器分析报告 【病毒分析】Mallox家族再进化：首次瞄准Linux，勒索新版本全面揭秘！ | | 2024/07/25 | BeijngCrypt | 【病毒分析】全网首发！以国内某安全厂商名字为后缀的勒索病毒分析 | | 2025/03/11 | 银狐 | 【病毒分析】潜伏在AI工具中的幽灵：银狐家族社工攻击的深度剖析 | | 2025/03/07 | CTF赛题 | 【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！ 【病毒分析】2024年网鼎杯朱雀组REVERSE02——关于勒索木马解密详解 | | 2025/05/14 | 888 | 【病毒分析】888勒索家族再出手！幕后加密器深度剖析 | | 2025/06/13 | LockBit4.0 | 【病毒分析】缴纳了巨额赎金依旧无法解密？最新LockBit4.0解密器分析 【病毒分析】LockBit 4.0 vs 3.0：技术升级还是品牌续命？最新LockBit 4.0分析报告 |

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且衍生了多个分支团队，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库漏洞，如(mssql命令执行)及暴力破解进行加密，攻击手法极多防不胜防。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/12/12 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第二篇-流量致盲，无声突破 | | 2024/12/11 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命 |

有效的预防方法包括针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【教程分享】勒索病毒来袭！教你如何做好数据防护 | | 2024/06/24 | 【教程分享】服务器数据文件备份教程 |

案例介绍篇聚焦于真实的攻击事件，还原病毒家族的攻击路径和策略，为用户提供详细的溯源分析和防护启示；

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手 | | 2024/01/26 | 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 | | 2024/03/13 | 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 | | 2024/04/01 | 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 | | 2024/04/26 | 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/05/17 | 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 | | 2024/11/28 | 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 | | 2025/10/23 | 【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗 |

漏洞与预防篇侧重于技术层面的防御手段，针对病毒利用的漏洞和安全弱点，提出操作性强的应对方案：

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/08 | 【漏洞与预防】RDP弱口令漏洞预防 | | 2025/01/21 | 【漏洞与预防】MSSQL数据库弱口令漏洞预防 | | 2025/02/18 | 【漏洞与预防】远程代码执行漏洞预防 | | 2025/04/10 | 【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞 | | 2025/04/17 | 【漏洞与预防】畅捷通文件上传漏洞预防 | | 2025/05/27 | 【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防 | | 2025/09/02 | 【漏洞与预防】Redis CVE-2025-32023 RCE漏洞验证与预防 |

应急响应工具教程篇重点分享应急响应过程中常用工具的安装、配置与使用说明，旨在帮助读者快速掌握这些工具的操作流程与技巧，提高其在实际应急场景中的应用熟练度与效率。

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/10 | 【应急响应工具教程】Splunk安装与使用 | | 2025/02/07 | 【应急响应工具教程】取证工具-Volatility安装与使用 | | 2025/02/20 | 【应急响应工具教程】流量嗅探工具-Tcpdump | | 2025/02/26 | 【应急响应工具教程】一款精准搜索文件夹内容的工具–FileSeek | | 2025/03/03 | 【应急响应工具教程】一款自动化分析网络安全应急响应工具–FindAll | | 2025/03/13 | 【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView | | 2025/03/20 | 【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter | | 2025/04/03 | 【应急响应工具教程】Windows 系统综合排查工具Hawkeye | | 2025/04/08 | 【应急响应工具教程】Linux下应急响应工具whohk | | 2025/05/15 | 【应急响应工具教程】Windows日志快速分析工具——Chainsaw | | 2025/06/05 | 【应急响应工具教程】Logman 系统性能与日志采集工具 | | 2025/07/02 | 【应急响应工具教程】QDoctor应急响应神器：一键检测系统安全 | | 2025/07/08 | 【应急响应工具教程】Linux应急响应工具集：一键式安全评估与可视化报告系统 | | 2025/07/23 | 【应急响应工具教程】司稽（Whoamifuck）：纯Shell打造的Linux应急响应利器 | | 2025/08/05 | 【应急响应工具教程】主机侧Checklist的自动全面化检测脚本-GScan | | 2025/08/19 | 【应急响应工具教程】SPECTR3：通过便携式 iSCSI 实现远程证据的只读获取与分析 |

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“Solar应急响应团队”。

全国热线| 400-613-6816

更多资讯| 扫码加入群组交流

喜欢此内容的人还喜欢

【紧急警示】Weaxor最新变种“.wxx”来袭，批量入国内知名财务类管理系统发起勒索攻击！

Solar应急响应团队

【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析

Solar应急响应团队

【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗 Solar应急响应团队

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：solar应急响应团队 solarsec solarsec《【Solar 应急预警】国家安全部揭露境外间谍黑产，针对境外间谍插件窃密技术深度解析(附自查清单)》