# AN0304 — Analytic 0304 ## Descrição Esta analítica detecta processos que usam utilitários de codificação nativos (`base64`, `xxd`, `plutil`) para codificar conteúdo de arquivos, seguido de transferência HTTP/HTTPS via curl ou aplicativos customizados no macOS. A telemetria inclui logs do sistema unificado (Unified Log) para execução de utilitários de codificação encadeados com conexões de rede de saída e eventos do Endpoint Security Framework. A detecção é relevante pois a codificação de dados com ferramentas nativas antes da exfiltração via curl é técnica frequente em malwares macOS como Atomic Stealer e campanhas de espionagem que visam repositórios de código e chaves de criptomoeda. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1132-data-encoding|T1132 — Data Encoding]] - [[t1132-001-standard-encoding|T1132.001 — Standard Encoding]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0304](https://attack.mitre.org/detectionstrategies/DET0108#AN0304)*