# AN0962 — Analytic 0962 ## Descrição Este analítico detecta o padrão de engenharia social conhecido como "ClickFix" ou "paste-and-run", em que o usuário é induzido por uma página web, e-mail ou documento a abrir um interpretador de comandos (Run, PowerShell, CMD) e colar um one-liner ofuscado. A telemetria utilizada abrange eventos de criação de processos (Sysmon Event ID 1 / Windows Security 4688), com foco em argumentos suspeitos como base64, Invoke-Expression, downloads via IEX e redirecionamento para shell. A detecção é crítica porque bypassa controles tradicionais de e-mail e AV ao explorar a ação voluntária do usuário como vetor de execução. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1566-phishing|T1566 — Phishing]] --- *Fonte: [MITRE ATT&CK — AN0962](https://attack.mitre.org/detectionstrategies/DET0340#AN0962)*