# AN0167 — Analytic 0167 ## Descrição Detecta no macOS a execução de curl ou wget seguida de uma conexão de rede e a criação de arquivo em diretórios temporários ou específicos do usuário (ex.: /tmp, ~/Downloads, ~/Library/Caches), padrão associado ao download e staging de ferramentas maliciosas. A telemetria inclui Unified Logs de execução de processos de transferência de rede, eventos FSEvents de criação de arquivo em caminhos de staging comuns e correlação com processos subsequentes de execução dos arquivos baixados. Essa detecção importa porque o macOS é frequentemente alvo de implantes que utilizam ferramentas nativas de transferência para evitar a detecção por soluções EDR que monitoram comportamentos exclusivos do Windows. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0167](https://attack.mitre.org/detectionstrategies/DET0060#AN0167)*