# AN0085 — Analytic 0085 ## Descrição Detecta o uso da ferramenta Ruler ou similar para inserir formulários personalizados maliciosos na caixa de entrada Outlook de um usuário, projetados para auto-executar no início do Outlook ou ao receber um e-mail especialmente criado. A telemetria abrange logs de criação de processos do Sysmon (Event ID 1) para detectar processos filhos anômalos do outlook.exe, logs de rede para conexões outbound iniciadas pelo cliente de e-mail, e registros de acesso ao Exchange/EWS para modificações de formulários. Este analítico é relevante porque a técnica de formulário Outlook permite persistência e execução de código sem modificar arquivos em disco, dificultando a detecção por soluções AV convencionais. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN0085](https://attack.mitre.org/detectionstrategies/DET0029#AN0085)*