det0521-behavioral-detection-of-spoofed-gui-credential-prompts

# DET0521 — Behavioral Detection of Spoofed GUI Credential Prompts ## Descrição A falsificação de prompts de credenciais via interface gráfica é uma técnica de captura de credenciais ([[t1056-input-capture|T1056 — Input Capture]]) onde adversários exibem caixas de diálogo falsas que imitam prompts legítimos do sistema operacional ou aplicações corporativas. Em Windows, isso é comumente implementado via PowerShell com `Get-Credential`, scripts VBScript criando objetos `WScript.Shell` com `Popup()`, ou binários customizados que replicam o visual do Windows Security Dialog. Em macOS, o comando `osascript` com diálogos AppleScript é frequentemente abusado para o mesmo propósito. A detecção comportamental foca na identificação de processos incomuns que criam janelas de UI solicitando credenciais, especialmente quando esses processos não são binários conhecidos de autenticação do sistema. A correlação entre a criação da janela, a captura de input do usuário e o subsequente envio de dados via rede (exfiltração das credenciais coletadas) forma a cadeia comportamental completa. Malwares como bankers brasileiros ([[mekotio|Mekotio]], [[s0531-grandoreiro|Grandoreiro]]) utilizam extensivamente prompts falsos para capturar credenciais bancárias de usuários no Brasil e LATAM. O monitoramento eficaz combina análise de chamadas de API para criação de janelas (`CreateWindowEx`, `DialogBox`) por processos não-GUI esperados, com detecção de acesso à área de transferência e hooks de teclado instalados por processos suspeitos. A estratégia deve diferenciar entre prompts legítimos de elevação UAC e falsificações, verificando a origem do processo e sua assinatura digital. ## Indicadores de Detecção - Execução de `powershell.exe` com parâmetros contendo `Get-Credential`, `-Credential` ou `PromptForCredential` - Script `osascript` em macOS com keywords `password`, `credentials` ou `authenticaté` em diálogos - Processo não-sistema criando janela com título contendo "Password", "Credential", "Login" ou "Authenticaté" - Instalação de hook de teclado (`SetWindowsHookEx` com `WH_KEYBOARD`) por processo não-antivírus - Acesso à área de transferência (`OpenClipboard`) por processo após exibição de diálogo suspeito - Conexão de rede de saída por processo que acabou de exibir prompt de credencial (exfiltração imediata) ## Técnicas Relacionadas - [[t1056-input-capture|T1056 — Input Capture]] — técnica principal coberta por esta estratégia - [[t1056-002-gui-input-capture|T1056.002 — GUI Input Capture]] — subtécnica específica de captura via GUI - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] — execução de scripts para criar prompts falsos - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] — técnica complementar de roubo de credenciais - [[t1078-valid-accounts|T1078 — Valid Accounts]] — uso das credenciais capturadas para acesso ## Analytics Relacionadas - [[an1440-analytic-1440|AN1440 — Analytic 1440]] - [[an1441-analytic-1441|AN1441 — Analytic 1441]] - [[an1442-analytic-1442|AN1442 — Analytic 1442]] --- *Fonte: [MITRE ATT&CK — DET0521](https://attack.mitre.org/detectionstrategies/DET0521)*