# AN1440 — Analytic 1440 ## Descrição Detecta uso suspeito de PowerShell, .NET ou interpretadores de script para gerar processos que imitam prompts de UAC (Controle de Conta de Usuário), frequentemente com caixas de diálogo de captura de credenciais invocadas a partir de processos pai não padrão. A telemetria cobre criação de processos, carregamento de módulos .NET e eventos de interface gráfica acionados programaticamente fora do contexto legítimo do sistema operacional. Adversários utilizam essa técnica para capturar credenciais de usuários que, enganados pelo prompt falso, fornecem suas senhas voluntariamente. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1056-input-capture|T1056 — Input Capture]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1440](https://attack.mitre.org/detectionstrategies/DET0521#AN1440)*