det0346-detect-screen-capture-via-commands-and-api-calls

# DET0346 — Detect Screen Capture via Commands and API Calls ## Descrição Esta estratégia detecta a captura de tela por malware para coletar informações sensíveis exibidas na tela do usuário — credenciais, dados bancários, formulários preenchidos, comúnicações. A técnica [[t1113-screen-capture|T1113-screen-capture]] é utilizada por spyware, infostealers e RATs para reconhecimento visual do ambiente e coleta de dados de alto valor sem interação direta com aplicações. A detecção foca em chamadas de API de captura de tela (`BitBlt`, `PrintWindow`, `CGWindowListCreateImage` no macOS, `screenshot` no Linux via scrot/import) por processos sem histórico legítimo de uso dessas funções — especialmente em background, sem janela visível e em alta frequência. Ferramentas como Raccoon, RedLine e Grandoreiro realizam screen capture como parte de seu fluxo de coleta. Em LATAM, trojans bancários como Grandoreiro e Casbaneiro utilizam screen capture para monitorar atividade em portais bancários e interceptar autenticação de segundo fator visual (tokens exibidos em tela). O contexto de processo (sem janela, em background) é o discriminador mais importante. ## Indicadores de Detecção - API `BitBlt` ou `GetDesktopWindow` → `PrintWindow` chamada por processo sem janela visível - Processo chamando `CopyFromScreen` (System.Drawing.Graphics) em loop contínuo - `scrot`, `import` (ImageMagick) ou `screencapture` executados por scripts em background - Criação frequente de arquivos de imagem (.png, .jpg, .bmp) em diretórios temporários por processo não-usuário - Processo sem janela realizando >10 capturas de tela por minuto - `CGWindowListCreateImage` em macOS chamado por processo sem permissão de Screen Recording na TCC ## Técnicas Relacionadas - [[t1113-screen-capture|T1113-screen-capture]] — técnica primária - [[t1056-input-capture|T1056-input-capture]] — captura de input relacionada - [[T1056.001-keylogging]] — keylogging frequentemente combinado com screen capture - [[t1041-exfiltration-over-c2-channel|T1041-exfiltration-over-c2-channel]] — exfiltração das screenshots capturadas - [[t1021-001-remote-desktop-protocol]] — RDP como alternativa para visualização remota de tela ## Analytics Relacionadas - [[an0980-analytic-0980|AN0980 — Analytic 0980]] - [[an0981-analytic-0981|AN0981 — Analytic 0981]] - [[an0982-analytic-0982|AN0982 — Analytic 0982]] --- *Fonte: [MITRE ATT&CK — DET0346](https://attack.mitre.org/detectionstrategies/DET0346)*