det0044-detecting-malicious-browser-extensions-across-platforms

# DET0044 — Detecting Malicious Browser Extensions Across Platforms ## Descrição Esta estratégia detecta extensões de navegador maliciosas instaladas por adversários para interceptar comúnicações, roubar credenciais, coletar cookies de sessão ou injetar scripts em páginas bancárias e corporativas. Extensões maliciosas são amplamente usadas por bankers brasileiros — como [[s0531-grandoreiro]] e [[mekotio]] — para monitorar acesso a internet banking e capturar tokens de autenticação em tempo real. A detecção abrange múltiplos navegadores (Chrome, Firefox, Edge, Safari) e plataformas (Windows, macOS, Linux). Os artefatos-chave incluem arquivos de manifesto de extensão (`manifest.json`) em diretórios de perfil do navegador, entradas de registro (Windows), e modificações nos arquivos de preferências de extensões. Extensões instaladas fora da lojá oficial, via sideloading ou políticas de grupo maliciosas, são o sinal mais relevante. A telemetria deve monitorar criação de arquivos em diretórios de extensões de navegador, consultas DNS para servidores de atualização não-oficiais, e tráfego de rede oriundo do processo do navegador para destinos incomuns. A análise comportamental do conteúdo dos scripts da extensão (permissões declaradas no manifest.json versus uso real) é essencial. ## Indicadores de Detecção - Criação de arquivos em `%LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions\` por processos não-navegador - Extensão com permissões `<all_urls>`, `tabs`, `webRequest`, `nativeMessaging` no `manifest.json` - ID de extensão não presente na Chrome Web Store ou Firefox Add-ons - Tráfego DNS/HTTP para domínios de atualização de extensão não reconhecidos - Extensão instalada via política de grupo (`ExtensionInstallForcelist`) adicionada recentemente - Processo do navegador fazendo requisições a endpoints bancários fora do padrão de uso do usuário ## Técnicas Relacionadas - [[t1176-browser-extensions|T1176-browser-extensions]] — técnica primária detectada - [[t1539-steal-web-session-cookie|T1539-steal-web-session-cookie]] — roubo de cookies via extensão - [[t1185-browser-session-hijacking|T1185-browser-session-hijacking]] — sequestro de sessão autenticada - [[T1056.002-input-capture-gui-input-capture]] — captura de entrada em formulários web - [[t1071-001-web-protocols]] — exfiltração via tráfego HTTP do navegador ## Analytics Relacionadas - [[an0123-analytic-0123|AN0123 — Analytic 0123]] - [[an0124-analytic-0124|AN0124 — Analytic 0124]] - [[an0125-analytic-0125|AN0125 — Analytic 0125]] --- *Fonte: [MITRE ATT&CK — DET0044](https://attack.mitre.org/detectionstrategies/DET0044)*