# AN1489 — Analytic 1489 ## Descrição Detecta execução sustentada de processos com uso intensivo de recursos (como mineradores de criptomoedas), frequentemente iniciados via tarefas agendadas, WMI ou PowerShell, que estabelecem conexões externas persistentes e tentam evadir detecção usando binários com nomes mascarados ou renomeados. A telemetria inclui logs de criação de processos (Sysmon), análise de consumo de CPU via métricas de desempenho do Windows e eventos de conexão de rede para pools de mineração conhecidos. Esta analítica é importante para detectar cryptojacking em ambientes Windows, onde adversários desviam recursos computacionais corporativos para mineração de criptomoedas, gerando custos operacionais e degradação de desempenho. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN1489](https://attack.mitre.org/detectionstrategies/DET0540#AN1489)*