# AN0425 — Analytic 0425 ## Descrição Detecta conexões HTTP/FTP de saída anômalas por scripts ou binários locais fora da atividade normal de navegador, ocorrendo após acesso a documentos locais ou dados de usuário. A telemetria necessária inclui Endpoint Security Framework do macOS para monitoramento de rede por processo, logs unificados para correlação de acesso a arquivos com conexões de saída e análise de tráfego de rede para identificar transferências via protocolos não encriptados originadas de processos não-browser. Essa detecção apoia a identificação de malware infostealer em macOS que acessa documentos do usuário e os transmite imediatamente via HTTP/FTP para servidores de coleta do adversário. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1048-003-exfiltration-over-alternative-protocol-exfiltration-over-unencrypted-non-c2-protocol|T1048.003 — Exfiltration Over Unencrypted Protocol]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1113-screen-capture|T1113 — Screen Capture]] --- *Fonte: [MITRE ATT&CK — AN0425](https://attack.mitre.org/detectionstrategies/DET0149#AN0425)*