# AN0190 — Analytic 0190 ## Descrição Detecta phishing no macOS por meio de atividade anômala no aplicativo Mail, como anexos salvos em disco e imediatamente executados, ou Safari/Preview abrindo URLs e arquivos vinculados de mensagens de e-mail, correlacionando eventos UnifiedLogs com execução de processo subsequente. A telemetria inclui Unified Logs do subsistema Mail.app registrando abertura de anexos, FSEvents para criação de arquivo em diretórios de quarentena e processos iniciados por Mail.app ou Preview que não fazem parte do comportamento normal da aplicação. Essa analítica é importante porque o ecossistema macOS empresarial cresceu significativamente, tornando o phishing via e-mail um vetor de acesso inicial relevante para campanhas direcionadas contra ambientes Apple corporativos, onde implantes multiplataforma de grupos como APT29 são projetados para funcionar. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN0190](https://attack.mitre.org/detectionstrategies/DET0070#AN0190)*