# AN0298 — Analytic 0298 ## Descrição Esta analítica detecta a correlação de e-mails recebidos com links embutidos seguidos de navegação do usuário para domínios suspeitos ou ofuscados, incluindo a cadeia: URL maliciosa no e-mail → clique do usuário registrado em logs do Office → processo de navegador gerando processos filho incomuns (PowerShell, cmd) ou atividade de download. A telemetria inclui logs de auditoria do Microsoft 365/Exchange, eventos de criação de processos com browser como pai e registros de proxy web. A detecção é relevante para identificar a fase inicial de exploração em ataques de spearphishing de clique, técnica amplamente usada em campanhas de espionagem direcionadas a organizações brasileiras. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1566-002-spearphishing-link|T1566.002 — Spearphishing Link]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0298](https://attack.mitre.org/detectionstrategies/DET0107#AN0298)*