# AN0189 — Analytic 0189 ## Descrição Monitora entrega de payload malicioso via phishing onde anexos ou URLs em clientes de e-mail Linux (ex.: Thunderbird, mutt) resultam em criação incomum de arquivo ou conexões de rede de saída, com foco na correlação entre logs de e-mail, gravações de arquivo e atividade de execução. A telemetria inclui logs de processo do cliente de e-mail via auditd, registros DNS/proxy para domínios acessados após abertura de e-mail e criação de arquivo em diretórios de download correlacionada com processos filhos do cliente de e-mail. Essa analítica é relevante para organizações com trabalhadores técnicos em Linux onde clientes de e-mail nativos são utilizados, especialmente considerando que esses ambientes frequentemente têm menos controles de segurança de e-mail do que suítes empresariais do Windows como o Outlook com integrações de proteção avançada. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0189](https://attack.mitre.org/detectionstrategies/DET0070#AN0189)*