Estensioni Browser Malevole: Browser Extensions (T1176.001)

La simulazione di un'estensione browser malevola in ambiente red team è un esercizio estremamente istruttivo, perché dimostra quanto sia semplice ottenere persistenza senza toccare il registro di sistema o i meccanismi di avvio classici. L'approccio più realistico consiste nel creare un'estensione Chromium minimale e caricarla manipolando i file di configurazione del browser.

Parti creando la struttura dell'estensione. Serve un manifest.json che dichiari i permessi desiderati — tabs, cookies, webRequest, storage — e un file background.js che implementi la logica malevola simulata, come l'invio dei cookie a un server C2 di laboratorio. Questa struttura va posizionata in una directory sotto il profilo utente.

Su Windows, il percorso dei file di configurazione Chrome è tipicamente sotto %LOCALAPPDATA%\Google\Chrome\User Data\Default\. Con il browser chiuso, puoi modificare il file Preferences (JSON) per iniettare la tua estensione nella sezione extensions.settings, specificando path, permessi e stato attivo. Il file Secure Preferences include hash di integrità che Chrome verifica al riavvio: in ambienti di test, puoi rigenerare gli HMAC oppure lavorare con Chromium in modalità che non li valida.

Su Linux il principio è identico, ma il profilo Chrome risiede in ~/.config/google-chrome/Default/. Puoi automatizzare l'iniezione con uno script bash che usa jq (open source) per manipolare il JSON:

jq '.extensions.settings += {"": {"path": "/tmp/evil_ext", "state": 1, "granted_permissions": {"api": ["tabs","cookies"]}}}' ~/.config/google-chrome/Default/Preferences > /tmp/prefs_modified && mv /tmp/prefs_modified ~/.config/google-chrome/Default/Preferences

Su macOS, per versioni precedenti alla 11, il comando profiles permetteva l'installazione silenziosa di file .mobileconfig contenenti configurazioni per estensioni Safari. Su macOS 11+ il file .mobileconfig può essere piazzato sul disco, ma richiede interazione utente per l'installazione — uno scenario perfetto per simulare social engineering in un engagement.

Per un approccio più strutturato, il framework Manifest V3 Extension Testing di Chrome DevTools (gratuito) consente di caricare estensioni in modalità sviluppatore con chrome://extensions in modalità "Carica estensione non pacchettizzata". Durante l'assessment, verifica che l'EDR del cliente rilevi la creazione di nuovi file nella directory delle estensioni e la modifica dei file Preferences.

Strumenti utili per l'analisi delle estensioni esistenti includono CRXcavator (freemium), un servizio che analizza il rischio delle estensioni Chrome, e Extension Source Viewer (open source), che permette di ispezionare il codice sorgente di qualsiasi estensione dallo store.

Il monitoraggio delle estensioni browser malevole richiede un approccio su più livelli, perché l'installazione avviene all'interno di un processo — il browser — che genera enormi quantità di telemetria legittima. La chiave è correlare eventi di installazione con comportamenti anomali successivi.

Su Windows, la detection primaria (AN0123) si basa su Sysmon e sui Security log. Configura Sysmon per catturare le scritture su file nelle directory delle estensioni Chrome e Edge: EventCode 11 (FileCreate) con path che matchano pattern come *\AppData\Local\Google\Chrome\User Data\*\Extensions\* oppure *\Secure Preferences* e *\Preferences*. L'evento critico è la modifica dei file Preferences quando il processo che scrive non è il browser stesso — un segnale forte di manipolazione esterna.

Correla le scritture su file con EventCode 3 (NetworkConnect) di Sysmon: se il processo browser avvia connessioni verso domini non categorizzati o con TLD sospetti entro pochi minuti dall'installazione di una nuova estensione, hai un indicatore ad alta confidenza. Monitora anche EventCode 1 (ProcessCreate) per individuare processi figli anomali generati dal browser, comportamento tipico di estensioni che fungono da dropper.

Su macOS (AN0124), il focus si sposta sui log unificati. Cerca eventi legati alla creazione di file .plist nelle directory delle preferenze browser e all'esecuzione del comando profiles. Attenzione: su macOS 11+ l'installazione di profili .mobileconfig richiede interazione utente, ma il piazzamento del file sul disco è silenzioso. Monitora la creazione di file .mobileconfig in directory comuni come ~/Downloads/ o /tmp/.

Su Linux (AN0125), auditd è il tuo alleato principale. Configura regole di audit per osservare scritture nella directory ~/.config/google-chrome/Default/Extensions/ e modifiche ai file di configurazione del profilo. I log di flusso di rete (NSM:Flow) completano il quadro, evidenziando connessioni anomale dal processo browser verso destinazioni in una watchlist personalizzata.

Per il tuning dei falsi positivi, tieni presente che le installazioni legittime da parte di utenti privilegiati o amministratori di dominio sono frequenti. Crea una baseline delle estensioni approvate e genera alert solo per ID estensione non presenti nella whitelist. I browser portabili o custom possono usare path non standard: parametrizza il BrowserExecutablePath nella tua detection. Infine, strumenti come osquery (open source) permettono di interrogare periodicamente la lista delle estensioni installate su tutti gli endpoint con una query sulla tabella chrome_extensions, confrontando i risultati con la policy aziendale.

L'analisi forense di un'estensione browser malevola parte da una certezza: l'estensione lascia tracce sia sul filesystem sia nei database interni del browser. Il tuo compito è ricostruire quando è stata installata, cosa ha fatto, e quali dati ha esfiltrato.

Su Windows, inizia dalla directory del profilo Chrome: %LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions\. Ogni estensione ha una sottodirectory con il proprio ID. Verifica il timestamp di creazione della directory (MFT $SI e $FN timestamps) per stabilire il momento esatto dell'installazione. Confronta con il file Preferences e Secure Preferences nella directory Default\: se i timestamp di modifica di questi file coincidono con la comparsa della nuova estensione ma il browser non era in esecuzione (verifica tramite Prefetch o log Sysmon EventCode 1), hai evidenza di manipolazione esterna.

Il file manifest.json dell'estensione è oro investigativo. Elenca i permessi richiesti — cookies, webRequest, tabs, <all_urls> — e identifica gli script di background. Analizza il codice JavaScript dell'estensione cercando chiamate a chrome.cookies.getAll(), XMLHttpRequest verso domini esterni, o meccanismi di offuscamento. Il database Web Data (SQLite) e History del profilo Chrome possono rivelare attività di navigazione automatica effettuata dall'estensione in background.

Su macOS, oltre alla directory delle estensioni (sotto ~/Library/Application Support/Google/Chrome/), verifica la presenza di profili di configurazione installati con il comando:

sudo profiles list -verbose

Cerca file .mobileconfig recenti nella directory ~/Downloads/ e nelle cartelle temporanee. Il Unified Log di macOS registra eventi di installazione profili: filtra per il subsystem com.apple.ManagedClient.

Su Linux, la directory ~/.config/google-chrome/Default/Extensions/ contiene le stesse strutture. I log di auditd, se configurati, forniscono traccia delle syscall di scrittura su questi path. Verifica anche il file ~/.config/google-chrome/Default/Login Data (SQLite), che potrebbe mostrare credenziali accedute dall'estensione.

Per la correlazione temporale, sovrapponi la timeline dell'installazione dell'estensione con i log di rete: il malware Lumma Stealer e Mispadu, ad esempio, installano estensioni che iniziano immediatamente a esfiltrare dati finanziari e credenziali verso server C2. L'intervallo tra installazione e primo contatto di rete è spesso brevissimo, nell'ordine dei secondi. Utilizza strumenti come Hindsight (open source), specificamente progettato per l'analisi forense dei browser Chromium, per estrarre in modo strutturato cronologia, cookie, download, preferenze ed estensioni con i relativi timestamp.

L'abuso di estensioni browser come vettore di persistenza è una tecnica trasversale, adottata sia da gruppi state-sponsored sia da operazioni cybercriminali focalizzate sul furto finanziario. Il panorama dei threat actor che sfruttano T1176.001 rivela pattern distinti per motivazione e targeting.

Kimsuky (G0094), gruppo attribuito alla Corea del Nord, ha utilizzato estensioni Google Chrome per infettare vittime e sottrarre password e cookie. Il loro approccio si inserisce in campagne di spionaggio più ampie, dove l'estensione browser funziona come collettore persistente di credenziali webmail e servizi cloud, alimentando operazioni di intelligence a lungo termine. La scelta di Chrome come vettore riflette la sua dominanza di mercato e l'ampia superficie di attacco offerta dal suo ecosistema di estensioni.

Sul fronte cybercriminale, il quadro è dominato da stealer e banking trojan. Mispadu (S1122) utilizza estensioni Chrome malevole specificamente per sottrarre dati finanziari, operando prevalentemente in America Latina. Grandoreiro (S0531), altro banking trojan con focus latinoamericano, sfrutta estensioni per il furto di cookie e informazioni utente, spesso come componente di una catena d'attacco che include overlay di pagine bancarie.

Lumma Stealer (S1213) rappresenta l'evoluzione più recente della minaccia: ha la capacità di installare estensioni malevole su Chrome, Edge, Opera e Brave contemporaneamente, massimizzando la copertura sul sistema vittima. Questo approccio multi-browser è un trend emergente che complica significativamente la detection, poiché ogni browser ha path e meccanismi di configurazione diversi.

TRANSLATEXT (S1201) si distingue per la capacità di catturare non solo credenziali e cookie, ma anche screenshot del browser, aggiungendo un livello di sorveglianza visiva che va oltre il furto di dati strutturati. Sul versante macOS, OSX/Shlayer (S0402) installa estensioni Safari malevole per servire pubblicità fraudolenta, mentre Bundlore (S0482) dirotta le ricerche utente attraverso estensioni manipolate — entrambi dimostrano che l'ecosistema Apple non è immune.

Il trend emergente è chiaro: le estensioni browser stanno diventando un punto di convergenza tra operazioni di spionaggio (Kimsuky), furto finanziario (Mispadu, Grandoreiro), info-stealing massivo (Lumma Stealer) e adware/hijacking (Shlayer, Bundlore). Per gli analisti di threat intelligence, monitorare i marketplace di estensioni e le segnalazioni di estensioni rimosse dagli store rappresenta un indicatore anticipatore di campagne in corso.

Framework MITRE ATT&CK: tecnica T1176.001, tattica TA0003, gruppo G0094, software S1122, S0402, S1213, S1201, S0531, S0482, mitigazioni M1033, M1047, M1051, M1017, M1038, detection DET0044 (AN0123, AN0124, AN0125). Integrato con conoscenza professionale per tool e procedure operative.