# AN0484 — Analytic 0484 ## Descrição Este analítico detecta cookies web forjados em endpoints Windows, monitorando modificações incomuns nos stores de cookies de navegadores (como o banco SQLite do Chrome ou cache do Edge) realizadas por processos externos ao próprio navegador, seguidas de eventos de autenticação em serviços SaaS ou IaaS. A telemetria inclui eventos de criação/modificação de arquivos em caminhos de armazenamento de cookies, logs de processos e eventos de autenticação correlacionados. Essa detecção é importante porque o acesso direto ao armazenamento de cookies por processos não-navegador é um forte indicador de roubo ou injeção de sessão. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0484](https://attack.mitre.org/detectionstrategies/DET0171#AN0484)*