# AN0980 — Analytic 0980 ## Descrição Este analítico detecta o uso indevido de APIs de captura de tela no Windows (como `CopyFromScreen` via GDI+) ou ferramentas de linha de comando que escrevem arquivos de imagem em disco, indicando possível coleta de informações da tela pelo atacante. A telemetria utilizada inclui eventos de criação de arquivos (Sysmon EID 11) para extensões de imagem (.png, .bmp, .jpg) em diretórios temporários, combinado com monitoramento de chamadas de API via hooking ou ETW para identificar o processo responsável. A detecção é importante porque captura de tela é usada por RATs e spyware para coletar credenciais visíveis, dados bancários e informações confidenciais exibidas na tela do usuário infectado. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1113-screen-capture|T1113 — Screen Capture]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN0980](https://attack.mitre.org/detectionstrategies/DET0346#AN0980)*