# AN0151 — Analytic 0151 ## Descrição Detecta uso do Outlook ou Word para encaminhar anexos internos suspeitos com conteúdo de macro, monitorando comportamentos de encaminhamento de anexo, abertura automática ou interações com prompts de macro. A telemetria inclui logs de auditoria do Microsoft 365 (MessageForwarded, AttachmentOpened), eventos de execução de macro do Office (4104 do Windows PowerShell para macros), e correlação com criação de processo filho do Outlook/Word após interação com o documento. Este analítico detecta campanhas de phishing interno baseadas em documentos Office com macros, onde documentos maliciosos são encaminhados internamente para aumentar a aparência de legitimidade e a taxa de execução da macro pelo usuário final. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] - [[t1566-phishing|T1566 — Phishing]] - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN0151](https://attack.mitre.org/detectionstrategies/DET0054#AN0151)*