# AN0389 — Analytic 0389 ## Descrição Detecta coleta de credenciais via hooking de API em modo usuário (como `SetWindowsHookEx`, IAT hooking ou inline patching) correlacionando modificações de memória com funções de instalação de hook e carregamento de módulos suspeitos em processos sensíveis a credenciais como `lsass.exe`, `explorer.exe` ou `winlogon.exe`. A telemetria inclui eventos de carregamento de módulo (Sysmon Event ID 7), monitoramento de chamadas de API de hook e análise de escrita em memória de processos protegidos. Essa analítica é importante porque hooking de API é uma técnica sofisticada usada por keyloggers e credential harvesters avançados para interceptar senhas antes da criptografia, sendo invisível para ferramentas de detecção baseadas apenas em arquivos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1056-input-capture|T1056 — Input Capture]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN0389](https://attack.mitre.org/detectionstrategies/DET0139#AN0389)*