# AN1403 — Analytic 1403 ## Descrição Detecta acesso a arquivos de cookies de navegadores conhecidos no Linux, como ~/.mozilla/firefox/*.default/cookies.sqlite ou ~/.config/google-chrome/, e leituras suspeitas de memória de processos de navegador via /proc/[pid]/mem ou ptrace por processos não autorizados. A telemetria é fornecida por logs do auditd configurados para monitorar abertura de arquivos em diretórios de perfil de navegador e chamadas de sistema sensíveis direcionadas a processos com nomes de navegadores conhecidos. Essa detecção é relevante para identificar infostealers multiplataforma e ferramentas de pós-exploração que visam roubar sessões autenticadas em estações Linux e servidores de desenvolvimento. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1555-003-credentials-from-web-browsers|T1555.003 — Credentials from Web Browsers]] - [[t1055-008-ptrace-system-calls|T1055.008 — Ptrace System Calls]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] --- *Fonte: [MITRE ATT&CK — AN1403](https://attack.mitre.org/detectionstrategies/DET0509#AN1403)*