# AN1405 — Analytic 1405 ## Descrição Detecta macros de automação ou scripts VBA em documentos Office que acessam caminhos de arquivos de navegadores, leem dados de cookies ou tentam exfiltrar tokens de sessão do navegador via HTTP para destinos externos. A telemetria correlaciona eventos de execução de macros, acesso a arquivos em diretórios de perfil de navegador e conexões de rede HTTP/HTTPS iniciadas pelo processo do Office após a ativação do script. Essa detecção é relevante para campanhas de phishing que utilizam documentos armados para roubar sessões de usuários de plataformas corporativas e bancárias sem necessidade de privilégios elevados. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1059-005-visual-basic|T1059.005 — Visual Basic]] - [[t1566-002-spearphishing-link|T1566.002 — Spearphishing Link]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1405](https://attack.mitre.org/detectionstrategies/DET0509#AN1405)*