Descripción de la Tecnica
La técnica "MaliciousBrowserExtensionDetection" es parte del MITRE ATT&CK y se enfoca en la detección de extensiones de navegador maliciosas. Esta técnica utiliza un query de CrowdStrike Falcon para identificar eventos relacionados con la instalación o modificación de extensiones de navegador que podrían ser utilizadas por actores maliciosos.
Como Funciona
La técnica analiza eventos de tipo "InstalledBrowserExtension" en el sistema. Se filtra la extensión "FreeVPN" mediante un patrón específico (jcbiifklmgnkppebelchllpdbnibihel) y mapea el estado de la extensión (activada/desactivada). El timestamp de instalación se registra para identificar actividades sospechosas. La detección se basa en la presencia de esta extensión y su estado alterado.
Actores que la Utilizan
No hay información publicada sobre actores específicos asociados a esta técnica. El MITRE ATT&CK no proporciona datos sobre los entidades o grupos que podrían utilizar este patrón en el contexto de ciberataques.
Detección
La detección se realiza mediante un query de seguridad que monitorea la instalación de extensiones de navegador. Se busca la presencia de la extensión "FreeVPN" y su estado alterado (activada o desactivada) en sistemas vigilados. Este proceso ayuda a identificar actividades maliciosas relacionadas con el uso de extensiones no autorizadas.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| BrowserExtensionId | jcbiifklmgnkppebelchllpdbnibihel | Extensión de navegador sospechosa. |
| BrowserExtensionName | FreeVPN | Nombre de la extensión maliciosa. |
| BrowserExtensionStatusEnabled | 0/1 | Estado de la extensión (desactivada/activada). |
| Timestamp | 2026-05-25 | Fecha de instalación o modificación. |
Mitigación
La mitigación incluye la eliminación de extensiones de navegador no autorizadas y el monitoreo continuo de actividades en el sistema. Se recomienda actualizar los sistemas operativos y aplicaciones, así como implementar controles de acceso estrictos a las extensiones de navegador.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*