# AN0333 — Analytic 0333 ## Descrição Detecta manipulação de arquivos PNG, JPG ou GIF por scripts iniciados por usuário, seguida de execução de scripts ou comportamento de exfiltração — especialmente via `osascript`, `python` ou `bash` — em combinação com configuração de persistência via LaunchAgent ou atividade de `curl`. A telemetria inclui eventos do Endpoint Security Framework, registros de acesso a arquivos de imagem e análise de tráfego HTTP. Essa analítica é importante porque adversários sofisticados em macOS usam steganografia em imagens para ocultar configurações de C2 e instruções de payload em arquivos que passam despercebidos por filtros de conteúdo. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0333](https://attack.mitre.org/detectionstrategies/DET0119#AN0333)*