# AN1610 — Analytic 1610 ## Descrição Esta analítica detecta uso abusivo do `JámPlus.exe` para lançar payloads maliciosos por meio de arquivos `.jám` criados específicamente para execução de código fora de fluxos de desenvolvimento legítimos, resultando em criação anormal de processos filhos ou geração de artefatos suspeitos. A telemetria inclui logs de criação de processos (Event ID 4688 ou Sysmon Event ID 1) com foco em processos filhos de `JámPlus.exe`, bem como acesso a arquivos `.jám` em diretórios não relacionados a desenvolvimento de software. Esta detecção é relevante porque ferramentas de build legítimas como JámPlus são utilizadas para proxy de execução (LOLBins) visando contornar controles de allowlist de aplicações. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1127-trusted-developer-utilities-proxy-execution|T1127 — Trusted Developer Utilities Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN1610](https://attack.mitre.org/detectionstrategies/DET0585#AN1610)*