# AN0037 — Analytic 0037 ## Descrição Detecta acesso a localizações de artefatos de navegadores (Chrome, Edge, Firefox) por processos como PowerShell, cmd.exe ou ferramentas desconhecidas, seguido de leituras de arquivo, decodificação ou operações de exportação indicando enumeração de favoritos, preenchimento automático ou bancos de dados de histórico com credenciais salvas. A telemetria inclui eventos de acesso a arquivo em diretórios de perfil de navegador (Sysmon Event ID 11), logs de execução de processos e correlação com leituras de arquivos SQLite de credenciais. Esse analítico é valioso para detectar infostealers e pós-exploração focada em roubo de credenciais de navegadores, uma técnica amplamente usada em campanhas de ransomware e espionagem. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1217-browser-information-discovery|T1217 — Browser Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0037](https://attack.mitre.org/detectionstrategies/DET0013#AN0037)*