# AN0036 — Analytic 0036 ## Descrição Detecta abertura de arquivos Office onde o código-fonte VBA parece inofensivo ou está ausente, mas o p-code permanece ativo e é executado, onde a ausência de componentes de código-fonte visíveis junto com execução de macro indica possível evasão de análise estática. A telemetria inclui logs do Endpoint Security Framework do macOS para processos Microsoft Office, análise de arquivos OLE com foco em fluxos VBA e criação de processos filhos de aplicações Office. Esse analítico é importante para macOS pois a técnica de p-code sem código-fonte é frequentemente utilizada para contornar scanners de antivírus que analisam apenas o código-fonte VBA visível. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1566-phishing|T1566 — Phishing]] --- *Fonte: [MITRE ATT&CK — AN0036](https://attack.mitre.org/detectionstrategies/DET0012#AN0036)*