# AN0438 — Analytic 0438 ## Descrição Detecta aplicativos ou scripts inesperados (osascript, curl, workflows Automator) exfiltrando dados via webhooks, correlacionando operações de leitura de clipboard ou arquivos seguidas de tráfego HTTPS POST para serviços de webhook. A telemetria necessária inclui Endpoint Security Framework do macOS para monitorar acesso ao clipboard por processo, logs unificados para rastrear execução de scripts e análise de tráfego de rede para identificar requisições POST para endpoints de webhook de plataformas de colaboração. Essa detecção apoia a identificação de malware infostealer em macOS que usa serviços como Discord ou Telegram como canais de exfiltração para contornar controles de proxy corporativos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1115-clipboard-data|T1115 — Clipboard Data]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1059-002-command-and-scripting-interpreter-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0438](https://attack.mitre.org/detectionstrategies/DET0153#AN0438)*