# AN0533 — Analytic 0533 ## Descrição Este analítico detecta uso de `pbpaste`, AppleScript ou frameworks de automação de terceiros (como Automator) para coletar conteúdo de área de transferência ou arquivos em rajadas no macOS, observável via Unified Logs. A telemetria inclui Unified Logs filtrando por uso de APIs de acessibilidade e pasteboard, eventos de processo do EndpointSecurity Framework para execuções de AppleScript e Automator, e FSEvents para acesso a arquivos em diretórios sensíveis. No macOS, o abuso de recursos de automação nativos como AppleScript é uma técnica discreta usada por malware e RATs para coletar dados de usuário sem interação visível. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1115-clipboard-data|T1115 — Clipboard Data]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1119-automated-collection|T1119 — Automated Collection]] --- *Fonte: [MITRE ATT&CK — AN0533](https://attack.mitre.org/detectionstrategies/DET0186#AN0533)*