# AN0004 — Analytic 0004 ## Descrição Detecta osascript, curl ou binários personalizados interagindo com brokers XMPP/MQTT em destinos não aprovados, com payloads criptografados ou requisições frequentes do tipo POST para URIs de brokers. A telemetria utilizada inclui logs do Endpoint Security Framework, análise de conexões de rede de saída e eventos de execução de processos correlacionados com scripts de automação do macOS. Esse analítico é crítico em ambientes macOS onde ferramentas nativas como osascript podem ser abusadas para comunicação C2 encoberta aproveitando protocolos de mensageria. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] --- *Fonte: [MITRE ATT&CK — AN0004](https://attack.mitre.org/detectionstrategies/DET0002#AN0004)*