# AN1619 — Analytic 1619 ## Descrição Esta analítica detecta descoberta de contas realizada via macros VBA, objetos COM ou scripting embarcado em documentos Office, utilizados por adversários para realizar reconhecimento de identidades dentro do contexto do usuário que abriu o documento malicioso. A telemetria inclui eventos de execução de macros Office (Event ID 4104 do AMSI), monitoramento de chamadas COM a APIs de diretório (ADSI, `GetObject("WinNT://...")`) e Network Monitor para consultas LDAP originadas do processo do Office. Esta detecção é importante porque documentos Office com reconhecimento de contas embutido são vetores de espionagem corporativa, tipicamente utilizados em campanhas de phishing direcionado. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN1619](https://attack.mitre.org/detectionstrategies/DET0587#AN1619)*