# AN0180 — Analytic 0180 ## Descrição Detecta no macOS uma cadeia comportamental onde Safari, Chrome, Firefox ou Office lida com uma URL (registrado via Unified Logs como evento open/click ou atribuição LSQuarantine), conexão de saída para domínio não confiável é estabelecida e um novo arquivo aparece em `~/Downloads` ou `/private/var/folders/*` com flag de quarentena. A telemetria inclui Unified Logs rastreando eventos LSQuarantine, FSEvents para criação de arquivo com atributo de quarentena e logs de rede para conexões externas de processos de navegador. Essa analítica é especialmente eficaz no macOS porque o mecanismo de Gatekeeper/quarentena fornece um sinal nativo confiável para identificar arquivos baixados de fontes externas, permitindo correlacionar downloads suspeitos com a execução subsequente que tenta contornar as proteções do sistema. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN0180](https://attack.mitre.org/detectionstrategies/DET0066#AN0180)*