Estensioni Browser Malevole: Browser Extensions (T1176.001)

Per comprendere questa tecnica, iniziamo analizzando come manipolare i file di configurazione Chrome. Su Windows, il file Preferences si trova in: %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\Preferences

La struttura JSON può essere modificata per caricare estensioni arbitrarie. Prima di procedere, create una copia del file originale, poi aggiungete la vostra estensione malevola nella sezione "extensions".

Su macOS pre-11, l'installazione silenziosa avveniva tramite: profiles install -type configuration -path malicious.mobileconfig

Anche se questo comando non funziona più su macOS 11+, potete ancora piantare file .mobileconfig e ingannare l'utente per installarli manualmente.

Per Linux, la manipolazione diretta delle preferenze Chrome richiede l'accesso alla directory: ~/.config/google-chrome/Default/

Create un'estensione di test che registra tutti gli input utente. Il manifest.json minimo includerà permessi per "tabs", "webRequest" e "storage". Pacchettizzate l'estensione e caricate la directory non compressa in modalità sviluppatore per testare il comportamento.

Gli strumenti come Bundlore e Grandoreiro dimostrano tecniche avanzate di furto credenziali. Replicate questi comportamenti creando listener JavaScript che intercettano form submissions e XMLHttpRequests. Il vostro script content.js può iniettare codice in ogni pagina visitata, catturando dati sensibili prima della trasmissione.

Per automatizzare l'installazione, sviluppate uno script che modifica i file di configurazione quando il browser non è in esecuzione. Verificate sempre che il processo chrome.exe non sia attivo prima di procedere con le modifiche.

Il rilevamento delle estensioni malevole richiede un approccio multi-livello. Monitorate l'Event ID 4688 per catturare processi browser che generano child processes inusuali dopo l'installazione di nuove estensioni.

La correlazione temporale è fondamentale: un'installazione seguita immediatamente da connessioni verso domini non categorizzati deve triggerare un alert. Su Windows, Sysmon cattura questi eventi con granularità superiore rispetto ai log nativi.

Per macOS, il log unificato registra modifiche ai file plist nelle directory delle estensioni. Create regex per identificare pattern di installazione sospetti, specialmente quando coinvolgono path non standard come: /Library/Application Support/Google/Chrome/Default/Extensions/

La baseline del comportamento normale è critica. Le estensioni legittime raramente stabiliscono connessioni verso IP non risolvibili o domini registrati recentemente. Implementate watchlist di domini noti per essere associati a campagne di furto credenziali.

Per ridurre i falsi positivi, create whitelist delle estensioni approvate basate su hash e publisher ID. Le installazioni al di fuori di questa lista devono generare alert di severità media, escalabili se correlate con altri indicatori.

Su Linux, auditd può tracciare modifiche alla directory delle estensioni Chrome. La syscall openat con flag O_WRONLY su path contenenti "Extensions" merita attenzione particolare quando eseguita da processi non-browser.

L'analisi forense delle estensioni malevole inizia esaminando i file di configurazione del browser. Il file Preferences contiene timestamp di installazione e permessi concessi a ogni estensione in formato epoch.

Su Windows, verificate la presenza di estensioni in:

• %LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions
• %LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Extensions

Ogni sottocartella corrisponde a un'estensione con ID univoco. Il manifest.json rivela i permessi richiesti e gli script caricati. Estensioni malevole come TRANSLATEXT richiedono tipicamente permessi estesi per "all_urls" e "webRequest".

L'analisi delle WebData SQLite database può rivelare pattern di furto dati. Query sulle tabelle autofill e cookies mostrano accessi anomali correlabili con l'installazione dell'estensione. Lumma Stealer lascia tracce distintive nelle tabelle di storage locale.

Per ricostruire la timeline, correlate:

• Timestamp di modifica dei file Preferences
• Entry nel browser history database
• Connessioni di rete registrate nei log di sistema

Su macOS, i Quarantine Extended Attributes possono rivelare l'origine del download se l'estensione è stata scaricata via browser. Il comando xattr -l mostra questi metadati nascosti.

Gli artefatti di Mispadu includono modifiche ai bookmark per redirigere verso siti di phishing bancario. Analizzate il file Bookmarks JSON per identificare inserimenti sospetti post-compromissione.

Il gruppo Kimsuky rappresenta il caso studio principale per questa tecnica. Le loro estensioni Chrome malevole seguono pattern identificabili: utilizzo di nomi generici come "Google Translate" o "Adobe Flash Player", richiesta di permessi eccessivi, comunicazione con infrastructure C2 in Corea del Nord.

L'evoluzione del malware OSX/Shlayer mostra l'adattamento alle contromisure Apple. Dopo le restrizioni di macOS 11, hanno shiftato verso tecniche di ingegneria sociale più sofisticate per convincere gli utenti a installare manualmente estensioni Safari malevole.

Grandoreiro e Mispadu dimostrano la specializzazione geografica del malware finanziario latinoamericano. Entrambi targetizzano specificamente istituti bancari brasiliani e messicani, con estensioni che riconoscono e manipolano i portali di banking online regionali.

L'overlap degli strumenti suggerisce possibili collegamenti o condivisione nel mercato underground. Bundlore appare come precursore tecnico di varianti più sofisticate, con il suo focus iniziale sul browser hijacking evoluto verso il furto credenziali.

Le campagne future probabilmente sfrutteranno:

• Manifest V3 di Chrome per aggirare le restrizioni di sicurezza
• Estensioni cross-browser per massimizzare l'impatto
• Tecniche di living-off-the-land usando estensioni legittime compromesse

Tecnica documentata nel framework MITRE ATT&CK T1176.001. Riferimenti alle campagne di Kimsuky, analisi dei malware OSX/Shlayer, Bundlore, Grandoreiro, Mispadu, TRANSLATEXT e Lumma Stealer. Detection basata su strategie DET0044 per Windows, macOS e Linux.