# AN0147 — Analytic 0147 ## Descrição Detecta uma sequência de e-mail interno enviado a partir de uma conta de usuário recentemente comprometida (precedida de logon anômalo ou atividade de dispositivo), com anexos ou links levando a execução ou coleta de credenciais, monitorando entrega de e-mail para pares com anexos de alta entropia seguidos de eventos de clique, iniciação de processo ou prompts de credencial. A telemetria inclui logs de auditoria do Microsoft 365 (MessageSent, MailboxLogin), análise de reputação de link e hash de anexo, e correlação com atividade de login anômala na conta remetente nas horas anteriores ao envio. Este analítico é fundamental para detectar ataques de spear-phishing interno onde credenciais comprometidas são utilizadas para aumentar a credibilidade de e-mails maliciosos, técnica observada em campanhas BEC de alto impacto financeiro. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] - [[t1566-phishing|T1566 — Phishing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN0147](https://attack.mitre.org/detectionstrategies/DET0054#AN0147)*