# AN0619 — Analytic 0619 ## Descrição Este analítico detecta processos incomuns ou não autorizados acessando APIs de microfone no Windows (como `winmm.dll`, `avrt.dll`) seguidos de escrita de arquivos de áudio em diretórios de acesso ao usuário ou temporários. A telemetria inclui logs de carregamento de módulos (Sysmon Event ID 7) para DLLs de captura de áudio, eventos de criação de arquivos (Sysmon Event ID 11) com extensões de áudio (`.wav`, `.mp3`, `.aac`) por processos sem histórico de captura de áudio e correlação com atividade de rede subsequente que pode indicar exfiltração. Essa detecção é relevante para identificar spyware e RATs que gravam conversas e ambientes de trabalho sem autorização, uma técnica de espionagem corporativa e governamental frequentemente usada em campanhas de ameaças persistentes avançadas (APTs). **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1123-audio-capture|T1123 — Audio Capture]] - [[t1125-video-capture|T1125 — Video Capture]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1056-input-capture|T1056 — Input Capture]] --- *Fonte: [MITRE ATT&CK — AN0619](https://attack.mitre.org/detectionstrategies/DET0221#AN0619)*