# AN0137 — Analytic 0137 ## Descrição Detecta um adversário que escreve ou implanta um Office Add-in malicioso (WLL, XLL, COM) em um diretório confiável ou modifica chaves de registro para carregar add-ins maliciosos na inicialização do aplicativo Office, resultando em execução automática do payload ao abrir Word ou Excel e gerando processos filhos anômalos como mecanismos de scripting. A telemetria inclui logs do Sysmon (Event ID 11 para criação de arquivo .xll/.wll, Event ID 13 para modificação de chaves de registro de add-ins Office, Event ID 1 para criação de processos filhos do Word/Excel), e monitoramento de chaves de registro HKCU\Software\Microsoft\Office\*\Excel\Options. Este analítico é relevante pois XLL add-ins maliciosos foram utilizados por grupos como APT40 e TA402 em campanhas de spear-phishing direcionadas a organizações governamentais e financeiras. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN0137](https://attack.mitre.org/detectionstrategies/DET0050#AN0137)*