# AN0321 — Analytic 0321 ## Descrição Detecta uso de serviços de e-mail ou mensageria não corporativos (como Thunderbird, Evolution ou navegadores) levando a downloads suspeitos de arquivos com execução subsequente. A telemetria utilizada inclui eventos de criação de processos filhos de navegadores, registros de acesso a arquivos baixados e invocação de interpretadores de shell após o download. Essa analítica é importante porque phishing via clientes de e-mail pessoais é um vetor inicial frequentemente subestimado em ambientes Linux corporativos, podendo ser o ponto de entrada de malware e backdoors. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0321](https://attack.mitre.org/detectionstrategies/DET0115#AN0321)*