# AN0196 — Analytic 0196 ## Descrição Detecta no macOS transferências rsync ou scp inbound de outros hosts que então agregam conteúdo em `/Users/Shared` ou `/private/tmp`, frequentemente envolvendo arquivos comprimidos ou scripts como precursores de exfiltração de dados. A telemetria inclui Unified Logs de processos rsync/scp com conexões de rede de entrada, FSEvents para criação de arquivo em diretórios compartilhados ou temporários e análise de padrões de acesso a `/Users/Shared` por processos não interativos. Essa analítica é relevante em ambientes macOS corporativos onde `/Users/Shared` é frequentemente utilizado para transferências entre usuários, tornando-o um local atraente para staging de dados maliciosos que se mistura com atividade legítima de compartilhamento de arquivos. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1074-data-staged|T1074 — Data Staged]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN0196](https://attack.mitre.org/detectionstrategies/DET0071#AN0196)*