# AN0552 — Analytic 0552 ## Descrição Este analítico detecta alterações em arquivos de configuração plist que definem regras de ocultação ou filtragem de email no macOS, como `RulesActiveState.plist`, `SyncedRules.plist`, `UnsyncedRules.plist` e `MessageRules.plist`, associadas a processos do Mail.app. A telemetria inclui FSEvents para modificações nesses arquivos plist em `~/Library/Mail/`, Unified Logs para atividade do Mail.app correlacionada com as mudanças e auditorias de acesso aos arquivos de configuração. Regras de email maliciosas no macOS são usadas em ataques de espionagem corporativa para redirecionar silenciosamente comúnicações sensíveis sem que o usuário perceba. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0552](https://attack.mitre.org/detectionstrategies/DET0192#AN0552)*