# AN0042 — Analytic 0042 ## Descrição Detecta arquivos sendo coletados em diretórios temporários do usuário ou compartilhados, seguidos de compressão com ditto, zip ou scripts personalizados, indicando preparação para exfiltração de dados em sistemas macOS. A telemetria inclui logs do Endpoint Security Framework do macOS para operações de arquivo, execução de utilitários de compressão nativos (ditto, zip) e correlação com transferências de rede subsequentes. Esse analítico é importante para detectar campanhas de espionagem e infostealers específicos para macOS que coletam dados de múltiplas fontes antes de exfiltrar tudo em um único arquivo comprimido. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1074-data-staged|T1074 — Data Staged]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN0042](https://attack.mitre.org/detectionstrategies/DET0014#AN0042)*