# AN1441 — Analytic 1441 ## Descrição Detecta prompts de credenciais baseados em GUI invocados via zenity, kdialog, dialog ou APIs X11 a partir de scripts não interativos ou sessões de shell em segundo plano, frequentemente com texto relacionado a autenticação. A telemetria inclui eventos de execução de processos, argumentos de linha de comando e contexto de sessão de usuário que revelam chamadas a ferramentas de diálogo gráfico por processos sem interface visual legítima. Essa técnica é usada em ataques de phishing local onde o adversário busca capturar credenciais do usuário sem elevar suspeita. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1056-input-capture|T1056 — Input Capture]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] --- *Fonte: [MITRE ATT&CK — AN1441](https://attack.mitre.org/detectionstrategies/DET0521#AN1441)*