# AN0035 — Analytic 0035 ## Descrição Detecta execução de macros Wine ou LibreOffice com metadados VBA inconsistentes, identificando arquivos com p-code embarcado sem fluxos de código-fonte correspondentes, indicando técnica de ofuscação adaptada para ambientes Linux onde documentos maliciosos são abertos fora do Office nativo. A telemetria inclui análise de arquivos Office (OLE/OOXML), logs de execução de processos Wine ou LibreOffice Basic e eventos de criação de processos filhos suspeitos. Esse analítico é relevante para ambientes Linux com usuários que abrem documentos Office via LibreOffice ou Wine, onde técnicas de evasão baseadas em p-code podem ser menos detectadas por soluções de segurança. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1566-phishing|T1566 — Phishing]] --- *Fonte: [MITRE ATT&CK — AN0035](https://attack.mitre.org/detectionstrategies/DET0012#AN0035)*