# AN0320 — Analytic 0320 ## Descrição Esta analítica detecta tentativas de spearphishing entregues via serviços de terceiros (como Gmail, mensagens do LinkedIn) que levam a downloads de arquivos maliciosos ou execução de scripts iniciada pelo navegador, correlacionando logins em serviços externos, operações de escrita de arquivo inesperadas e processos descendentes suspeitos gerados por aplicativos de produtividade ou navegadores. A telemetria inclui logs de proxy web, eventos de criação de processo com browsers e aplicativos de produtividade como pai, além de telemetria de EDR para downloads e execuções subsequentes. A detecção é relevante pois spearphishing via plataformas de redes sociais e webmail pessoal é vetor crescente contra alvos corporativos, contornando filtros de e-mail corporativo tradicionais. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1566-003-spearphishing-via-service|T1566.003 — Spearphishing via Service]] - [[t1204-002-malicious-file|T1204.002 — Malicious File]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0320](https://attack.mitre.org/detectionstrategies/DET0115#AN0320)*