# AN0191 — Analytic 0191 ## Descrição Detecta phishing via documentos Office contendo macros embutidas ou links que iniciam processos, com detecção baseada na correlação de logs de aplicações Office com execução suspeita de processos filhos e conexões de rede de saída. A telemetria inclui logs de bloco de macro do Office (Event IDs 4104/4105), eventos Sysmon de processos filhos iniciados por WINWORD.EXE, EXCEL.EXE ou POWERPNT.EXE e conexões de rede originadas dessas aplicações para endereços externos. Essa analítica é de alta prioridade porque documentos Office com macros maliciosas são o vetor de acesso inicial mais comum em campanhas de ransomware e espionagem corporativa, com grupos APT frequentemente usando documentos temáticos de organizações do setor alvo para aumentar a credibilidade do phishing. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1137-office-application-startup|T1137 — Office Application Startup]] --- *Fonte: [MITRE ATT&CK — AN0191](https://attack.mitre.org/detectionstrategies/DET0070#AN0191)*