# AN1436 — Analytic 1436 ## Descrição Detecta adversários que injetam macros VBA em templates do Office como Normal.dotm ou Personal.xlsb, ou redirecionam o caminho de carregamento de templates via chave de registro (GlobalDotName) para obter persistência. A telemetria inclui eventos de modificação do registro do Windows, criação de arquivos em diretórios de templates do Office e monitoramento de execução de aplicações Office com carregamento de módulos VBA não padrão. Essa técnica garante que o código malicioso sejá executado automaticamente toda vez que o aplicativo Office é iniciado. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] --- *Fonte: [MITRE ATT&CK — AN1436](https://attack.mitre.org/detectionstrategies/DET0519#AN1436)*