# T1176 - Browser Extensions ## Técnica Esta é uma técnica base de Persistência no framework [[mitre-attack|MITRE ATT&CK]]. Possui sub-técnicas que cobrem extensões de navegador web ([[t1176-001-browser-extensions|T1176.001]]) e extensões de IDE ([[t1176-002-ide-extensions|T1176.002]]). ## Descrição **Browser Extensions** (T1176) é o abuso de extensões de navegador maliciosas para manter persistência, coletar credenciais, interceptar tráfego web e exfiltrar dados. Extensões têm acesso a cookies de sessão, conteúdo de páginas web, histórico de navegação e podem interceptar e modificar requisições HTTP - tornando-as ferramentas poderosas para adversários que buscam acesso persistente e invisível ao navegador da vítima. Extensões maliciosas podem ser instaladas por meio de múltiplos vetores: - **Engenharia social** - a vítima é convencida a instalar uma extensão apresentada como ferramenta útil (bloqueador de anúncios falso, VPN gratuita, tradutor, leitor de PDF, etc.) - **Pacotes de software trojanizados** - a extensão é instalada silenciosamente junto com outro software legítimo comprometido - **Comprometimento da lojá oficial** - extensões legítimas são compradas ou sequestradas e atualizadas com código malicioso (supply chain de extensões) - **Sideloading via script** - em sistemas já comprometidos, o adversário instala a extensão diretamente no diretório de perfil do navegador sem passar pela lojá oficial, usando [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - **Enterprise policy manipulation** - em ambientes corporativos, políticas de GPO são modificadas para forçar a instalação de extensões controladas pelo adversário Uma vez instalada, a extensão é carregada automaticamente pelo navegador a cada inicialização - garantindo persistência mesmo sem interação do usuário. Extensões com permissões amplas (acesso a "todos os sites") podem capturar credenciais via [[t1056-input-capture|T1056 - Input Capture]], roubar cookies de sessão via [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] e exfiltrar dados pelo próprio canal de navegação, dificultando a detecção por soluções que monitoram apenas tráfego de rede fora do contexto do browser. ## Posição no Kill Chain ```mermaid graph TB style T1176 fill:#27ae60,color:#fff T1566["T1566: Phishing<br/>Engenharia Social"] --> T1176 T1059["T1059: Command<br/>and Scripting"] --> T1176 T1176["T1176: Browser<br/>Extensions"] --> T1539["T1539: Steal Web<br/>Session Cookie"] T1176 --> T1056["T1056: Input<br/>Capture"] T1176 --> T1041["T1041: Exfiltration<br/>over C2"] T1176 --> T1185["T1185: Browser<br/>Session Hijacking"] ``` ## Sub-técnicas - [[t1176-001-browser-extensions|T1176.001 - Browser Extensions]] - extensões de navegador web (Chrome, Firefox, Edge, Safari) - [[t1176-002-ide-extensions|T1176.002 - IDE Extensions]] - extensões de ambiente de desenvolvimento integrado (VS Code, JetBrains) ## Como Funciona **Passo 1 - Instalação da extensão maliciosa** O adversário entrega a extensão via phishing, instalador trojanizado ou sideloading direto no diretório de perfil. Em Chrome/Chromium, o diretório de extensões fica em `%LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions\`. Em Firefox, em `%APPDATA%\Mozilla\Firefox\Profiles\*.default\extensions\`. **Passo 2 - Ativação persistente** O navegador carrega automaticamente todas as extensões instaladas a cada inicialização. A extensão maliciosa registra event listeners para interceptar navegação (`webRequest`, `tabs`, `cookies`) e executar scripts de conteúdo nas páginas visitadas (`content_scripts`). **Passo 3 - Coleta de dados e C2** A extensão monitora URLs de interesse (internet banking, e-mail corporativo, VPNs web) e captura credenciais, tokens de sessão ou conteúdo de formulários antes da criptografia TLS - pois opera dentro do contexto do navegador, após o decrypt. Dados exfiltrados são enviados via `XMLHttpRequest` ou `fetch` para infraestrutura C2 do adversário, muitas vezes misturados com tráfego HTTPS legítimo. **Passo 4 - Evasão de detecção** Extensões operam no espaço do usuário do navegador, fora do escopo de muitas soluções de EDR que monitoram processos do sistema. Extensões instaladas via enterprise policy aparecem como "gerenciadas pela organização" - reduzindo suspeita do usuário final. O mecanismo de atualização automática de extensões permite que código inicialmente benigno sejá substituído por payload malicioso após a instalação, contornando verificações de segurança feitas no momento da instalação inicial. ## Contexto Brasil/LATAM No Brasil, extensões de navegador maliciosas são vetores consolidados para roubo de credenciais bancárias e fraude financeira. Grupos que operam trojans bancários como [[s0531-grandoreiro|Grandoreiro]], [[mekotio|Mekotio]] e [[casbaneiro|Casbaneiro]] utilizam extensões que monitoram sessões de internet banking nos principais bancos brasileiros para capturar tokens de autenticação dinâmica, senhas de transação e dados de PIX antes que sejam enviados ao servidor do banco. Um padrão recorrente em campanhas brasileiras envolve extensões que se apresentam como plugins de certificado digital - explorando a familiaridade do usuário brasileiro com a necessidade de plugins para portais governamentais como o e-CAC da [[receita-federal|Receita Federal]] e sistemas de nota fiscal eletrônica. Uma vez instalada, a extensão opera em background monitorando todos os sites acessados, não apenas os portais declarados no discurso de instalação. Em campanhas de espionagem com foco em organizações governamentais e empresas de [[energy|energia]] e [[telecommunications|telecomúnicações]] na LATAM, grupos como [[g0094-kimsuky|Kimsuky]] e [[g0016-apt29|APT29]] utilizaram extensões de navegador para manter acesso persistente e discreto a webmails e portais de gestão corporativa. Extensões raramente são incluídas no escopo de investigações de incidente tradicionais e sobrevivem à troca de senhas e revogação de tokens quando não são removidas explicitamente - tornando-as vetores de persistência de longo prazo especialmente eficazes. O ecossistema de extensões de VS Code e IDEs também representa risco crescente para desenvolvedores brasileiros em fintechs e empresas de tecnologia: extensões trojanizadas públicadas em marketplaces de IDEs podem exfiltrar chaves de API, tokens de acesso e variáveis de ambiente diretamente dos projetos em desenvolvimento, conforme documentado em campanhas rastreadas via [[t1176-002-ide-extensions|T1176.002 - IDE Extensions]]. ## Detecção | Fonte de Dados | Evento a Monitorar | |---|---| | File System | Criação de arquivos em `%LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions\` por processos que não sejam o próprio navegador | | Windows Registry | Criação de chaves em `HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist` por processos não autorizados | | Network Traffic | Requisições HTTP/HTTPS originadas por processos de navegador para domínios de C2 conhecidos ou com padrões de beacon | | Process Creation | Execução de scripts ou binários por processos de navegador (`chrome.exe`, `firefox.exe`, `msedge.exe`) | | Browser Logs | Extensões com permissões `<all_urls>`, `webRequest`, `webRequestBlocking` ou `cookies` instaladas fora da lista aprovada | Auditar periodicamente extensões instaladas em todos os navegadores corporativos via MDM, ChromeOS Device Management ou Firefox Enterprise Policy. Ferramentas como `chrome://extensions/` com Developer Mode ou scripts de inventário via GPO podem listar e comparar extensões contra uma baseline aprovada. ## Mitigação | ID | Mitigação | Aplicação | |---|---|---| | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Usar Chrome Enterprise ou Firefox Enterprise Policy para restringir execução de extensões a uma lista de IDs aprovados | Chrome, Edge, Firefox | | [[m1033-limit-software-installation\|M1033 - Limit Software Installation]] | Bloquear instalação de extensões de fontes fora das lojas oficiais; desabilitar Developer Mode em ambientes corporativos | Todos os navegadores | | - | Allowlist centralizada de extensões | Definir via GPO ou MDM quais extensões podem ser instaladas; toda extensão fora da lista é bloqueada automaticamente | | - | Revisão periódica de permissões | Auditar trimestralmente as permissões declaradas por extensões instaladas; extensões com `<all_urls>` requerem justificativa de negócio | ## Threat Actors que Usam - [[g0016-apt29|Cozy Bear]] - utiliza extensões de navegador para persistência em sistemas de alvos governamentais e diplomáticos, com acesso a webmails e portais seguros - [[g0094-kimsuky|Kimsuky]] - grupo norte-coreano documentado usando extensões Chrome maliciosas para exfiltrar e-mails e documentos de alvos de pesquisa e governo, incluindo na campanha [[operation-dreamjob|Operation DreamJob]] - Grupos de bankers brasileiros - utilizam extensões para interceptação de sessões bancárias e captura de credenciais de PIX em campanhas massivas contra usuários de internet banking no setor [[financial|financeiro]] do Brasil --- **Técnicas relacionadas:** [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] · [[t1056-input-capture|T1056 - Input Capture]] · [[t1566-phishing|T1566 - Phishing]] · [[t1041-exfiltration-c2|T1041 - Exfiltration Over C2 Channel]] · [[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]] · [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] **Atores:** [[g0016-apt29|Cozy Bear]] · [[g0094-kimsuky|Kimsuky]] **Campanhas:** [[operation-dreamjob|Operation DreamJob]] **Setores:** [[financial|Financeiro]] · [[government|Governo]] · [[technology|Tecnologia]] --- *Fonte: MITRE ATT&CK - T1176 (v16.2)*