# AN0381 — Analytic 0381 ## Descrição Detecta comportamento de envio de e-mail via Terminal, AppleScript ou Automator que interage com SMTP ou IMAP, tipicamente usando `curl` ou APIs relacionadas a e-mail em contextos não sancionados em macOS. A telemetria inclui eventos do Endpoint Security Framework para execução de `curl` com parâmetros SMTP, chamadas de AppleScript para aplicativos de e-mail e conexões de saída em portas de e-mail a partir de processos de automação. Essa analítica é relevante porque adversários em macOS frequentemente abusam de ferramentas de automação nativas como AppleScript e Automator para enviar dados coletados via e-mail sem instalar ferramentas adicionais. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN0381](https://attack.mitre.org/detectionstrategies/DET0135#AN0381)*