# AN1592 — Analytic 1592 ## Descrição Detecta modificação do arquivo de filtros de mensagens do Thunderbird ou execução de ferramentas CLI (ex: formail/procmail) que alteram o comportamento de encaminhamento via `.forward` em sistemas Linux. A telemetria inclui eventos de acesso a arquivos de configuração de email, execução de processos de processamento de mensagens e modificações em arquivos de encaminhamento no diretório home do usuário. Adversários comprometidos com acesso a contas Linux utilizam essas ferramentas nativas para configurar encaminhamento persistente de email sem interação visual. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1592](https://attack.mitre.org/detectionstrategies/DET0576#AN1592)*