# AN1437 — Analytic 1437 ## Descrição Detecta macros VBA maliciosas embutidas em templates base como Normal.dotm ou Personal.xlsb que são automaticamente carregados e executados na inicialização do aplicativo Office. O caminho do templaté pode ser sequestrado para carregar um templaté remoto ou controlado pelo adversário por meio da configuração de registro GlobalDotName. A telemetria cobre eventos de modificação de arquivos de templaté, alterações de registro e processos filho anômalos gerados por aplicações Office. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1437](https://attack.mitre.org/detectionstrategies/DET0519#AN1437)*