# AN0719 — Analytic 0719 ## Descrição Detecta credenciais web forjadas em endpoints Windows por meio de arquivos de cookie de browser anômalos, manipulações de cache de token local ou ferramentas que injetam tokens em sessões existentes, observando processos acessando LSASS ou stores de credencial de browser inesperadamente seguidos de sessões de logon incomuns. A telemetria inclui Sysmon (Event IDs 10, 11), Windows Security Event Log (Event ID 4624/4648) e logs de browser que identificam acesso não autorizado a arquivos de sessão de browser ou manipulação de cache de token por processos externos ao browser. Essa analítica é importante para detectar pass-the-cookie e roubo de token web utilizados por adversários para contornar MFA, uma técnica cada vez mais documentada em ataques a tenants Microsoft 365 e Google Workspace de organizações brasileiras. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] --- *Fonte: [MITRE ATT&CK — AN0719](https://attack.mitre.org/detectionstrategies/DET0260#AN0719)*