# T1137.003 - Outlook Forms ## Técnica Pai Sub-técnica de [[t1137-office-application-startup|T1137 - Inicialização de Aplicativo Office]], tática [[ta0003-persistence|Persistência]]. ## Descrição Adversários abusam de formulários personalizados do Microsoft Outlook para obter persistência em sistemas comprometidos. Os formulários do Outlook funcionam como templates de apresentação e funcionalidade para mensagens de email. Um adversário pode criar formulários maliciosos que executam código automaticamente quando um email especialmente crafted é recebido pela vítima. Após os formulários maliciosos serem adicionados à caixa de correio do usuário, eles são carregados toda vez que o Outlook é inicializado. A execução do payload ocorre no momento em que o adversário envia um email com estrutura específica, acionando o formulário comprometido. Essa técnica abusa de funcionalidade legítima do Office Suite e não exige privilégios elevados para ser implementada, tornando-a atrativa para grupos como [[g0096-apt41|APT41]] e [[g0016-apt29|APT29]] em operações de espionagem contra setores [[government|governamentais]] e [[financial|financeiros]]. No contexto da América Latina e do Brasil, o abuso de formulários Outlook tem sido associado a campanhas de [[espionagem-corporativa|espionagem corporativa]] e acesso persistente a ambientes de email corporativo em organizações dos setores de [[government|governo]], [[energy|energia]] e [[financial|financeiro]], onde o uso de Microsoft Exchange e Outlook é predominante. ## Attack Flow ```mermaid graph TB A([Acesso Inicial<br/>Compromisso de Credenciais]) --> B([Implantação<br/>Formulário Malicioso via MAPI/EWS]) B --> C([Persistência<br/>Formulário Carregado no Mailbox]) C --> D([Execução<br/>Email Trigger Recebido]) D --> E([Comando e Controle<br/>Payload Executado]) E --> F([Coleta<br/>Exfiltração de Dados do Mailbox]) style A fill:#4a1942,color:#fff style B fill:#7b2d8b,color:#fff style C fill:#c0392b,color:#fff style D fill:#e67e22,color:#fff style E fill:#2980b9,color:#fff style F fill:#1a5276,color:#fff ``` ## Como Funciona **Passo 1 - Criação do formulário malicioso** O adversário, com acesso ao mailbox da vítima (via credenciais comprometidas, EWS ou MAPI), pública um formulário Outlook customizado contendo código VBScript ou Script malicioso. Ferramentas como o **Ruler** automatizam essa etapa, permitindo públicação remota de formulários via Exchange Web Services sem necessidade de acesso físico ao endpoint. **Passo 2 - Ativação via email trigger** O formulário é associado a uma classe de mensagem personalizada (ex.: `IPM.Note.CustomForm`). Quando o adversário envia um email com essa classe de mensagem específica para o mailbox comprometido, o Outlook carrega e executa o script embutido no formulário. O usuário não precisa abrir ou interagir manualmente com o email - basta que o Outlook estejá aberto e o formulário, carregado. **Passo 3 - Persistência e re-execução** Os formulários residem no servidor Exchange (pasta de formulários do mailbox), não no disco local, o que torna a detecção por EDR e antivírus convencional mais difícil. Toda vez que o Outlook é iniciado, os formulários do mailbox são carregados. O adversário pode re-acionar o payload enviando novos emails trigger, mantendo execução persistente sem reescrita de arquivos no disco. ## Detecção ```yaml title: Outlook Custom Form Execution via Malicious Email id: 8f3b2a1c-4d7e-4a9f-b2c3-1e5f7a8d9b0c status: experimental description: > Detecta execução de scripts a partir de formulários Outlook customizados. Indica possível abuso de T1137.003 para persistência via mailbox. author: RunkIntel daté: 2026-03-25 tags: - attack.persistence - attack.t1137.003 logsource: category: process_creation product: windows detection: selection_outlook_parent: ParentImage|endswith: - '\OUTLOOK.EXE' selection_suspicious_child: Image|endswith: - '\wscript.exe' - '\cscript.exe' - '\powershell.exe' - '\cmd.exe' - '\mshta.exe' condition: selection_outlook_parent and selection_suspicious_child falsepositives: - Macros legítimas do Outlook configuradas por administradores - Automação corporativa via scripts aprovados level: high ``` ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1051 | [[m1051-update-software\|M1051 - Updaté Software]] | Manter Microsoft Outlook e Exchange atualizados para corrigir vulnerabilidades que facilitam a públicação remota de formulários maliciosos. | | M1040 | [[m1040-behavior-prevention-on-endpoint\|M1040 - Behavior Prevention on Endpoint]] | Soluções EDR com prevenção comportamental podem bloquear a execução de scripts filhos gerados pelo processo OUTLOOK.EXE. | ## Software Associado - [[s0358-ruler|Ruler]] - ferramenta de red team que automatiza públicação de formulários Outlook maliciosos via EWS/MAPI, amplamente documentada em operações de espionagem corporativa. ## Referências *Fonte: [MITRE ATT&CK - T1137.003](https://attack.mitre.org/techniques/T1137/003)*