# AN0123 — Analytic 0123 ## Descrição Detecta a instalação de extensões de navegador seguida de gravações suspeitas de arquivos ou conexões de rede de saída a domínios não confiáveis pelo processo do navegador. A telemetria inclui logs do Sysmon para criação de arquivos na pasta de extensões do Chrome/Firefox/Edge, monitoramento de chaves de registro relacionadas a extensões, e correlação com conexões de rede do processo do navegador para destinos incomuns. Este analítico é importante porque extensões maliciosas de navegador são um vetor crescente para roubo de credenciais, cookies de sessão e exfiltração de dados, frequentemente distribuídas via engenharia social em campanhas targeting setor financeiro brasileiro. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1176-browser-extensions|T1176 — Browser Extensions]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1185-browser-session-hijacking|T1185 — Browser Session Hijacking]] - [[t1056-input-capture|T1056 — Input Capture]] --- *Fonte: [MITRE ATT&CK — AN0123](https://attack.mitre.org/detectionstrategies/DET0044#AN0123)*