# AN1010 — Analytic 1010 ## Descrição Este analítico detecta o uso anormal de clientes de e-mail (Outlook, Thunderbird) mostrando chegada em massa de mensagens ou armazenamento repetitivo de anexos localmente, correlacionando o volume de mensagens com atividade de criação de arquivos em diretórios de cache de e-mail. A telemetria utilizada inclui eventos de criação de arquivos (Sysmon EID 11) em diretórios como `%APPDATA%\Microsoft\Outlook\` e `%LOCALAPPDATA%\Thunderbird\`, além de eventos de atividade de processo do cliente de e-mail correlacionados com spikes de I/O de rede. Esta detecção é relevante para identificar campanhas de phishing direcionadas que entregam múltiplos documentos maliciosos em lote, bem como ataques de mail bombing usados para desviar a aténção de equipes de segurança durante operações de intrusão simultâneas. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1010](https://attack.mitre.org/detectionstrategies/DET0355#AN1010)*