# AN0105 — Analytic 0105 ## Descrição Detecta acesso não autorizado a armazenamentos de credenciais de navegadores web (Chrome Login Data, Edge Credential Locker) por processos que não sejam o próprio navegador. A telemetria inclui monitoramento de acesso a arquivos via Sysmon (Event ID 11), auditoria de chamadas à API CryptUnprotectData via ETW, e correlação com tentativas de inspecionar memória do processo do navegador. Este analítico é crítico para detectar stealers de credenciais como RedLine, Vidar e Raccoon que são amplamente distribuídos como MaaS (Malware as a Service) e têm impacto significativo em organizações brasileiras e latino-americanas. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] --- *Fonte: [MITRE ATT&CK — AN0105](https://attack.mitre.org/detectionstrategies/DET0037#AN0105)*