det0076-behavioral-detection-of-visual-basic-execution-vbsvbavbscript

# DET0076 — Behavioral Detection of Visual Basic Execution (VBS/VBA/VBScript) ## Descrição Visual Basic Script (VBScript), VBS standalone e macros VBA em documentos Office constituem um dos vetores de execução mais antigos e persistentes no ecossistema Windows. Apesar de Microsoft ter iniciado a desabilitação gradual de VBScript no Windows 11, o VBA em documentos Office e o motor WScript/CScript continuam sendo amplamente explorados em campanhas de malware, especialmente em phishing corporativo e downloaders de primeiro estágio. Esta estratégia de detecção foca em comportamentos pós-execução de VBScript e VBA: invocação de `wscript.exe` ou `cscript.exe` a partir de processos Office ou clientes de e-mail, scripts VBS executados a partir de diretórios temporários, uso de objetos COM suspeitos dentro de macros (`Shell`, `WScript.Shell`, `MSXML2.XMLHTTP`, `ADODB.Stream`) para download e execução de payloads adicionais. O comportamento de "macro que baixa e executa" é o padrão mais crítico a detectar. No contexto LATAM, VBS e VBA são vetores primários de distribuição de trojans bancários como [[s0531-grandoreiro]], [[mekotio]] e loaders de primeira fase como [[s0561-guloader]]. Campanhas de phishing direcionadas ao setor financeiro brasileiro frequentemente utilizam documentos Word ou Excel com macros VBA como vetor de entrega inicial. ## Indicadores de Detecção - `wscript.exe` ou `cscript.exe` iniciado por processo Office (`winword.exe`, `excel.exe`, `outlook.exe`) - Script `.vbs` executado a partir de `%TEMP%`, `%APPDATA%` ou caminhos de download do usuário - Macro VBA utilizando `Shell`, `WScript.Shell.Run` ou `CreateObject("MSXML2.XMLHTTP")` para acesso de rede - Download de arquivo via `ADODB.Stream` seguido de escrita em diretório temporário - `wscript.exe` ou `cscript.exe` spawning `powershell.exe`, `cmd.exe` ou `mshta.exe` - Documento Office com macro habilitada por usuário final que não tem histórico de documentos com macro ## Técnicas Relacionadas - [[t1059005-command-and-scripting-interpreter-visual-basic|T1059.005 — Visual Basic]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1566001-phishing-spearphishing-attachment|T1566.001 — Spearphishing Attachment]] - [[t1204002-user-execution-malicious-file|T1204.002 — Malicious File]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] ## Analytics Relacionadas - [[an0209-analytic-0209|AN0209 — Analytic 0209]] - [[an0210-analytic-0210|AN0210 — Analytic 0210]] - [[an0211-analytic-0211|AN0211 — Analytic 0211]] --- *Fonte: [MITRE ATT&CK — DET0076](https://attack.mitre.org/detectionstrategies/DET0076)*