# AN0072 — Analytic 0072 ## Descrição Detecta abuso de binários Electron em Linux por meio de modificação de arquivos app.asar ou arquivos de configuração JS, gerando processos filhos inesperados (bash, curl, python) a partir de aplicativos como Slack, VS Code ou Discord instalados no sistema. A telemetria inclui auditd para execução de processos filhos de binários Electron, monitoramento de modificações em arquivos .asar e análise de comportamento de rede disparado por aplicativos de desktop. Esse analítico é relevante em ambientes Linux onde aplicativos Electron amplamente implantados podem ser manipulados por adversários para executar código arbitrário aproveitando a confiança depositada nesses aplicativos legítimos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0072](https://attack.mitre.org/detectionstrategies/DET0025#AN0072)*