# AN0125 — Analytic 0125 ## Descrição Detecta instalação manual ou via script de extensões Chrome usando user scripts ou arquivos de configuração no Linux, seguida de conexões de rede inesperadas originadas pelos processos do navegador. A telemetria inclui logs do auditd para monitorar modificações em diretórios ~/.config/chromium/Extensions/ ou ~/.config/google-chrome/Extensions/, netflow para rastrear conexões de rede pós-instalação, e correlação com scripts de shell ou Python que manipulam diretórios de extensão. Este analítico é relevante em ambientes Linux corporativos onde extensões de navegador maliciosas são utilizadas para monitoramento de sessão web e roubo de credenciais de plataformas SaaS e sistemas bancários. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1176-browser-extensions|T1176 — Browser Extensions]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1056-input-capture|T1056 — Input Capture]] --- *Fonte: [MITRE ATT&CK — AN0125](https://attack.mitre.org/detectionstrategies/DET0044#AN0125)*