# AN0518 — Analytic 0518 ## Descrição Este analítico detecta uso anômalo de `scp`, `rsync`, `curl` ou aplicativos de sincronização de terceiros transferindo executáveis para diretórios de usuários no macOS, correlacionando criação de novos arquivos com eventos de execução imediatos. A telemetria inclui Unified Logs mostrando atividade de rede de transferência de arquivos, FSEvents para criação de arquivos em diretórios `~/Downloads` ou `/tmp`, e eventos de execução de processos via EndpointSecurity Framework. No macOS, aplicativos de sincronização legítimos podem ser abusados para entrega furtiva de ferramentas maliciosas, tornando a correlação transferência-execução essencial para detecção. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN0518](https://attack.mitre.org/detectionstrategies/DET0183#AN0518)*