# AN0733 — Analytic 0733 ## Descrição Esta analítica detecta execução de JavaScript via WSH (wscript.exe, cscript.exe) ou HTA (mshta.exe) em Windows, especialmente quando iniciados por macros do Office, navegadores web ou caminhos de usuário anômalos. A telemetria inclui logs de criação de processos do Sysmon (Event ID 1), linha de comando do processo e eventos de rede correlacionados (Event ID 3). A detecção é importante porque esses interpretadores são frequentemente abusados em ataques de phishing para executar payloads de primeira etapa, estabelecer persistência ou realizar reconhecimento do sistema. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] --- *Fonte: [MITRE ATT&CK — AN0733](https://attack.mitre.org/detectionstrategies/DET0264#AN0733)*