# AN0532 — Analytic 0532 ## Descrição Este analítico detecta acesso repetido ou automatizado a diretórios de documentos de usuário ou à área de transferência usando shell scripts ou utilitários como `xclip` ou `pbpaste` no Linux, detectável via logs syscall do auditd ou eventos de arquivo do osquery. A telemetria inclui auditd monitorando syscalls de abertura/leitura em diretórios `~/Documents`, `~/Desktop`, execuções de `xclip` e scripts que iteram sobre arquivos, além de eventos de osquery para monitoramento de acesso a arquivos em tempo real. Coleta automatizada de dados é característica de implantes de espionagem e RATs que visam exfiltrar documentos e credenciais de sistemas Linux corporativos. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1115-clipboard-data|T1115 — Clipboard Data]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1119-automated-collection|T1119 — Automated Collection]] --- *Fonte: [MITRE ATT&CK — AN0532](https://attack.mitre.org/detectionstrategies/DET0186#AN0532)*