# AN0282 — Analytic 0282 ## Descrição Esta analítica monitora comportamento anormal de processos e chamadas de API como `SetWindowsHookEx`, `GetAsyncKeyState` ou polling de dispositivos de entrada, comumente utilizadas para registro de teclas pressionadas (keylogging). A telemetria inclui logs de chamadas de API coletados por EDR e Sysmon, além de análise comportamental de processos que instalam hooks de teclado sem serem aplicativos de UI legítimos. A detecção é crítica para identificação de keyloggers utilizados em campanhas de roubo de credenciais financeiras, um vetor extremamente comum em ataques direcionados ao setor bancário brasileiro. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1056-input-capture|T1056 — Input Capture]] - [[t1056-001-keylogging|T1056.001 — Keylogging]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] --- *Fonte: [MITRE ATT&CK — AN0282](https://attack.mitre.org/detectionstrategies/DET0102#AN0282)*