# AN0077 — Analytic 0077 ## Descrição Detecta aplicações como Automator, AppleScript ou LaunchDaemons invocando tráfego HTTP/S para domínios não padrão ou usando headers suspeitos (ex: Base64 em URIs ou campos cookie), indicando uso de automação nativa do macOS para comunicação C2 camuflada. A telemetria inclui o Endpoint Security Framework do macOS para conexões de rede originadas de aplicativos de automação, análise de headers HTTP e correlação com atividade de LaunchDaemon/LaunchAgent criado por software desconhecido. Esse analítico detecta técnicas de C2 específicas para macOS onde adversários utilizam Automator, osascript ou daemons personalizados para comunicação encoberta aproveitando automação legítima do sistema. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0077](https://attack.mitre.org/detectionstrategies/DET0027#AN0077)*