# AN0968 — Analytic 0968 ## Descrição Este analítico detecta a execução maliciosa de arquivos CHM (Compiled HTML Help) através do `hh.exe`, seguida de criação de processos filhos suspeitos como invocação de VBScript, JScript, mshta ou PowerShell. A telemetria utilizada abrange eventos de criação de processos (Sysmon EID 1, EID 7 para carregamento de módulos) e monitoramento de origem de arquivos, especialmente CHMs carregados de locais não confiáveis como %TEMP% ou compartilhamentos de rede. A detecção é crítica porque arquivos CHM são frequentemente usados em campanhas de spear-phishing por APTs — incluindo grupos noreanos e iranianos — por serem assinados digitalmente como utilitários legítimos do Windows. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1566-phishing|T1566 — Phishing]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0968](https://attack.mitre.org/detectionstrategies/DET0342#AN0968)*