# AN0263 — Analytic 0263 ## Descrição Esta analítica detecta o uso de ferramentas como Ruler ou MFCMapi para criar uma regra maliciosa no Outlook que aciona execução de código ao receber um e-mail especialmente elaborado, resultando no lançamento de processos como `mshta.exe` ou PowerShell como filhos do Outlook. A telemetria inclui logs de criação de processos (Sysmon Event ID 1) com Outlook.exe como pai, eventos de modificação de regras em logs de auditoria de caixa postal e telemetria EDR. Esta detecção é relevante pois regras de e-mail maliciosas são mecanismo de persistência furtivo amplamente utilizado por grupos de espionagem como APT29 e Fancy Bear. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1566-phishing|T1566 — Phishing]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0263](https://attack.mitre.org/detectionstrategies/DET0095#AN0263)*