# AN1388 — Analytic 1388 ## Descrição Detecta macros maliciosas ou objetos embutidos ocultos em documentos Office por meio de renomeação de streams OLE ou uso de objetos OLE ocultos, correlacionados com execução anômala após abertura do documento. Utiliza análise estática de documentos Office (via ferramentas como oletools), logs de ATP do Microsoft 365 e eventos de criação de processos filhos de aplicações Office para identificar documentos com conteúdo executável oculto. Importante para detectar documentos de phishing sofisticados que ocultam código malicioso em estruturas OLE não convencionais para evadir scanners de e-mail que inspecionam apenas streams de macro padrão. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1388](https://attack.mitre.org/detectionstrategies/DET0502#AN1388)*