det0092-detection-of-malicious-or-unauthorized-software-extensions

# DET0092 — Detection of Malicious or Unauthorized Software Extensions ## Descrição Esta estratégia detecta extensões maliciosas ou não autorizadas instaladas em navegadores, IDEs e outras aplicações extensíveis. Extensões de browser comprometidas são vetores de alto impacto para roubo de credenciais, interceptação de sessões web (cookie theft), redirecionamento de tráfego e espionagem de atividade do usuário. Adversários distribuem extensões maliciosas via engenharia social, typosquatting em stores oficiais ou instalação forçada via políticas de grupo comprometidas. A telemetria primária inclui: monitoramento do diretório de perfil do browser para novas extensões (`%APPDATA%\{Chrome,Edge,Firefox}\...`), verificação de IDs de extensão contra listas de aprovação, e análise de comportamento de rede do processo do browser para domínios não relacionados à atividade do usuário. Extensões instaladas via `--load-extension` (unpacked) são especialmente suspeitas em ambientes corporativos. Complementarmente, a estratégia abrange extensões de VSCode, Burp Suite e outras ferramentas de desenvolvimento que podem exfiltrar código-fonte ou credenciais de ambiente. A análise do manifesto da extensão (`manifest.json`) para permissões excessivas (`tabs`, `webRequest`, `cookies`, `<all_urls>`) é um sinal estático forte. Malwares como [[dracarys]] e campanhas de infostealer frequentemente incluem extensões de browser como componente. ## Indicadores de Detecção - Nova extensão instalada em diretório de perfil do browser não presente na lista de aprovação corporativa - Extensão com ID não catalogado acessando URLs de autenticação ou portais bancários - Processo do browser realizando requisições HTTP para domínios não acessados pelo usuário - Extensão instalada via `--load-extension` (modo desenvolvedor) em ambiente corporativo - Permissões de manifesto incluindo `webRequest` + `<all_urls>` + `cookies` simultaneamente - Modificação de arquivos de extensão existente (indicativo de comprometimento de extensão legítima) ## Técnicas Relacionadas - [[t1176-browser-extensions]] — Técnica principal - [[t1539-steal-web-session-cookie]] — Cookie theft via extensão maliciosa - [[t1185-browser-session-hijacking]] — Sequestro de sessão de browser - [[t1552-unsecured-credentials]] — Extração de credenciais salvas no browser - [[t1071001-web-protocols]] — Exfiltração via HTTP/S pela extensão ## Analytics Relacionadas - [[an0251-analytic-0251|AN0251 — Analytic 0251]] - [[an0252-analytic-0252|AN0252 — Analytic 0252]] - [[an0253-analytic-0253|AN0253 — Analytic 0253]] --- *Fonte: [MITRE ATT&CK — DET0092](https://attack.mitre.org/detectionstrategies/DET0092)*