# AN0071 — Analytic 0071 ## Descrição Detecta abuso de aplicações Electron confiáveis (Teams, Slack, Chrome) para gerar processos filhos ou executar payloads via argumentos de linha de comando maliciosos (ex: --gpu-launcher) e recursos de aplicativo modificados (.asar), com a cadeia comportamental incluindo processo pai suspeito (app Electron) + args de linha de comando incomuns + criação de processo filho + possíveis artefatos DLL/rede. A telemetria inclui dados de EDR para criação de processos filhos de aplicativos Electron, análise de argumentos de linha de comando incomuns e modificações em arquivos .asar. Esse analítico detecta técnicas de LOLApp (Living-off-the-Land Application) onde adversários abusam de aplicativos legítimos e amplamente instalados para executar código malicioso de forma encoberta. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0071](https://attack.mitre.org/detectionstrategies/DET0025#AN0071)*