# AN0873 — Analytic 0873 ## Descrição Esta analítica detecta downloads baseados em browser a partir de fontes HTML que acionam criação de arquivo em diretórios temp ou de usuário seguida de execução de novos arquivos em janelas curtas de tempo e linhagem pai-filho suspeita. A telemetria utilizada inclui logs auditd para monitorar eventos de criação de arquivo em diretórios de download do usuário correlacionados com eventos execve subsequentes, com análise de linhagem de processo para identificar browsers como pais de executáveis. Esta detecção é relevante para identificar HTML smuggling em endpoints Linux, uma técnica crescentemente usada em campanhas de phishing direcionadas a desenvolvedores e equipes de DevOps que usam Linux como estação de trabalho principal. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1566-002-spearphishing-link|T1566.002 — Spearphishing Link]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0873](https://attack.mitre.org/detectionstrategies/DET0313#AN0873)*