# AN0138 — Analytic 0138 ## Descrição Detecta Office add-ins maliciosos carregados via VSTO, COM ou caminhos de auto-carregamento VBA, onde a execução ocorre na inicialização de Word/Excel/Outlook sem ação do usuário, residindo em diretório confiável ou registrado via subsistema COM/VBE do Office. A telemetria inclui logs de auditoria do Microsoft 365 para rastrear instalação de add-ins, Sysmon (Event ID 7 para carregamento de módulo não assinado por processo Office, Event ID 1 para spawn de processos intérprete), e análise de chaves de registro de carregamento automático de add-ins. Este analítico é fundamental para detectar persistência via Office add-ins não gerenciados, técnica difícil de detectar pois o comportamento de carregamento é idêntico ao de add-ins legítimos e o código malicioso pode permanecer invisível em plataformas de EDR convencionais. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0138](https://attack.mitre.org/detectionstrategies/DET0050#AN0138)*