# AN0502 — Analytic 0502 ## Descrição Este analítico detecta o abuso da funcionalidade de Home Page de pastas do Outlook, onde adversários usam ferramentas como Ruler para configurar uma Home Page maliciosa que carrega um payload HTML remoto ou embutido ao acessar a pasta. A cadeia de execução começa com o Outlook iniciando, uma pasta específica sendo acessada e um processo filho suspeito sendo gerado ou execução COM sendo invocada. A telemetria inclui eventos de criação de processos filhos do Outlook, monitoramento de chaves de registro relacionadas a Home Pages de pastas e logs de rede para conexões externas iniciadas pelo Outlook. Esse vetor de persistência é notável por combinar abuso de recurso legítimo com execução de conteúdo remoto. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0502](https://attack.mitre.org/detectionstrategies/DET0177#AN0502)*