# AN0214 — Analytic 0214 ## Descrição Detecta no macOS chamadas AppleScript ou de sistema para ativar interfaces WiFi/Bluetooth (`networksetup`, `blueutil`), seguidas de exfiltração via AirDrop, sincronização em nuvem ou socket de rede, padrão que indica uso adversarial de canais de comunicação alternativos para contornar controles de rede corporativa. A telemetria inclui Unified Logs de chamadas ao subsistema WiFi/Bluetooth via CoreWLAN/IOBluetooth, FSEvents para acesso a arquivos sensíveis antes de eventos de transferência AirDrop e análise de conexões de rede em interfaces alternativas. Essa analítica é especialmente relevante em ambientes macOS corporativos onde AirDrop e Bluetooth podem ser vetores de exfiltração para dispositivos pessoais próximos, contornando completamente controles de DLP baseados na rede corporativa. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1011-exfiltration-over-other-network-medium|T1011 — Exfiltration Over Other Network Medium]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0214](https://attack.mitre.org/detectionstrategies/DET0077#AN0214)*