# AN0149 — Analytic 0149 ## Descrição Detecta uso anômalo do Apple Mail no macOS, incluindo retransmissão de e-mail interno seguida por execução de arquivo ou eventos de script, como anexos abertos via Preview ou Terminal disparado a partir do Mail.app. A telemetria inclui o Endpoint Security Framework para monitorar processos filho do Mail.app (Terminal, Preview, scripts), logs do Unified Logging (subsistema com.apple.mail) para rastrear atividade de envio e recebimento, e análise de reputação de anexo para identificar arquivos executáveis ou documentos com macros recebidos. Este analítico detecta spear-phishing interno via Apple Mail, onde adversários que comprometem contas macOS corporativas utilizam o cliente de e-mail nativo para propagar malware dentro da organização. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0149](https://attack.mitre.org/detectionstrategies/DET0054#AN0149)*