# T1176.001 - Extensões de Navegador ## Técnica Pai Esta é uma sub-técnica de [[t1176-browser-extensions|T1176 - Extensões de Navegador]]. ## Descrição Adversários abusam de extensões de navegadores web para estabelecer acesso persistente a sistemas comprometidos. Extensões de navegador são pequenos programas que adicionam funcionalidades e personalizam o comportamento de browsers como Chrome, Firefox, Edge e Safari. Elas podem ser instaladas diretamente por arquivo local, URL customizada ou pela lojá oficial de extensões do navegador, e geralmente herdam as permissões já concedidas ao browser pelo usuário. Extensões maliciosas podem ser instaladas por meio de downloads disfarçados de extensões legítimas nas lojas oficiais, por engenharia social, ou por um adversário que já comprometeu o sistema previamente. A fiscalização de segurança nas lojas de extensões é frequentemente insuficiente, tornando relativamente fácil que extensões maliciosas passem pelos filtros automatizados. Em navegadores baseados em Chromium, adversários também podem manipular os arquivos `Preferences` e `Secure Preferences` para instalar extensões de forma silenciosa - sem necessidade de interação do usuário, mesmo com o browser fechado. Após instalada, a extensão pode navegar em segundo plano, capturar tudo que o usuário digita no navegador (incluindo credenciais e dados bancários), servir como ponto de entrada para um RAT ou compor uma botnet com backdoor persistente. Extensões maliciosas também são utilizadas para modificar configurações de privacidade e contornar controles de segurança, contribuindo para [[ta0005-defense-evasion|Evasão de Defesa]]. **Contexto Brasil/LATAM:** A região é alvo frequente de campanhas que utilizam extensões maliciosas para roubo de credenciais bancárias e comprometimento de sessões de internet banking. Malwares como [[s0531-grandoreiro|Grandoreiro]] e [[s1122-mispadu|Mispadu]], focados em usuários brasileiros e latino-americanos, utilizam extensões de browser como vetor de coleta de credenciais. O grupo norte-coreano [[g0094-kimsuky|Kimsuky]] também emprega extensões maliciosas - como o [[s1201-translatext|TRANSLATEXT]] - contra alvos governamentais e de inteligência na região. ## Attack Flow ```mermaid graph TB A["Comprometimento inicial<br/>(phishing / malware dropper)"] --> B["Instalação da extensão maliciosa<br/>ESTA TÉCNICA - T1176.001"] B --> C["Captura de credenciais<br/>e sessões de browser"] C --> D["Exfiltração de dados<br/>via C2 ou servidor adversário"] D --> E["Acesso persistente<br/>e movimentação lateral"] E --> F["Impacto - roubo financeiro<br/>espionagem / controle"] ``` ## Como Funciona 1. **Preparação** - O adversário cria ou modifica uma extensão maliciosa, disfarçada de ferramenta legítima (ex: bloqueador de anúncios, tradutor, VPN), e a distribui por lojas oficiais, phishing ou dropper já presente no sistema. 2. **Instalação** - A extensão é instalada via lojá oficial com engenharia social, por manipulação direta dos arquivos `Preferences`/`Secure Preferences` do Chromium, ou por perfis de configuração `.mobileconfig` no macOS (macOS < 11). 3. **Execução persistente** - A extensão é carregada automaticamente a cada inicialização do browser, operando em segundo plano sem necessidade de reativação pelo adversário. 4. **Coleta e exfiltração** - Credenciais, tokens de sessão, histórico e formulários são capturados em tempo real e enviados para infraestrutura controlada pelo atacante via requisições HTTPS disfarçadas de tráfego legítimo. **Exemplo - Manipulação silenciosa de Preferences (Chromium):** ```json { "extensions": { "settings": { "EXTENSION_ID": { "location": 1, "path": "/caminho/para/extensao_maliciosa", "state": 1, "granted_permissions": { "api": ["tabs", "webRequest", "storage", "cookies"] } } } } } ``` ## Detecção **Fontes de dados:** Logs de instalação de extensões do navegador, monitoramento do sistema de arquivos (perfil do browser), logs de rede (requisições de extensões), eventos de registro no Windows, auditoria de processos filhos do browser. ```yaml title: Extensão de Navegador Instalada Fora da Lojá Oficial id: a7f3e1b2-4d8c-4a9e-b2f1-3c6d7e8f9a0b status: experimental logsource: category: file_event product: windows detection: selection: TargetFilename|contains: - '\AppData\Local\Google\Chrome\User Data\Default\Extensions\' - '\AppData\Roaming\Mozilla\Firefox\Profiles\' TargetFilename|endswith: - '\manifest.json' filter_store: TargetFilename|contains: '\Extensions\Temp\' condition: selection and not filter_store falsepositives: - Instalação legítima de extensão corporativa via GPO - Ferramentas de desenvolvimento de extensões level: medium tags: - attack.persistence - attack.t1176.001 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1033-limit-software-installation\|M1033 - Limit Software Installation]] | Restringir instalação de extensões via política de grupo (GPO/MDM); permitir apenas extensões de lista aprovada pela organização | | [[m1047-audit\|M1047 - Audit]] | Auditar regularmente extensões instaladas em endpoints; alertar sobre extensões novas ou com permissões elevadas | | [[m1051-update-software\|M1051 - Updaté Software]] | Manter browsers atualizados para reduzir superfície de exploração das stores e mecanismos de instalação | | [[m1017-user-training\|M1017 - User Training]] | Treinar usuários para identificar extensões falsas e não instalar extensões fora das lojas corporativas aprovadas | | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Bloquear execução de extensões não assinadas ou não listadas em allowlist corporativa via controles de endpoint | ## Threat Actors que Usam - [[g0094-kimsuky|Kimsuky]] - utiliza extensões maliciosas como [[s1201-translatext|TRANSLATEXT]] contra alvos governamentais ## Software Associado - [[s1122-mispadu|Mispadu]] - banker LATAM com componente de extensão maliciosa para Chrome - [[s0531-grandoreiro|Grandoreiro]] - trojan bancário brasileiro com módulo de sequestro de sessão via browser - [[lumma-stealer|Lumma Stealer]] - infostealer que abusa de extensões para roubo de cookies e credenciais - [[s1201-translatext|TRANSLATEXT]] - extensão maliciosa do Kimsuky para espionagem via browser - [[Shlayer]] - usa extensões maliciosas no macOS para adware persistente - [[s0482-bundlore|Bundlore]] - adware macOS que instala extensões indesejadas via bundlers --- *Fonte: [MITRE ATT&CK - T1176.001](https://attack.mitre.org/techniques/T1176/001)*