# AN0038 — Analytic 0038 ## Descrição Detecta acesso não autorizado via shell ou script a arquivos de configuração de navegador ou arquivos SQLite de histórico em ~/.config/google-chrome/, ~/.mozilla/ ou pastas ~/.var/app, indicando enumeração de favoritos ou credenciais salvas por processos não relacionados ao navegador. A telemetria inclui auditd com monitoramento de syscalls de abertura de arquivo em diretórios de perfil de navegador, logs de shell e correlação com processos que não são o próprio navegador. Esse analítico é importante em ambientes Linux corporativos onde infostealers ou scripts pós-comprometimento frequentemente direcionam diretórios de perfil de navegadores baseados em Chromium ou Firefox para extração de credenciais. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1217-browser-information-discovery|T1217 — Browser Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0038](https://attack.mitre.org/detectionstrategies/DET0013#AN0038)*