# AN0179 — Analytic 0179 ## Descrição Detecta no Linux uma cadeia comportamental onde um navegador, cliente de escritório ou cliente de e-mail GUI abre uma URL, estabelece conexão de saída com domínio não confiável e um novo arquivo é salvo em `$HOME/Downloads`, `/tmp` ou diretórios de cache imediatamente depois. A telemetria utilizada inclui auditd para rastrear criação de arquivos por processos de navegador, registros de DNS/proxy para resolução de domínios externos e correlação de timestamps entre conexão de rede e gravação de arquivo pelo mesmo PID. Essa analítica é importante em workstations Linux corporativas, especialmente em ambientes de desenvolvimento onde os usuários utilizam navegadores e clientes de e-mail e podem ser alvos de campanhas de phishing que exploram a menor maturidade de detecção em endpoints Linux em comparação ao Windows. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0179](https://attack.mitre.org/detectionstrategies/DET0066#AN0179)*