# AN0570 — Analytic 0570 ## Descrição Este analítico detecta processos não listados na whitelist que recebem permissão TCC para câmera (`kTCCServiceCamera`), abrem handles de dispositivo AppleCamera ou AVFoundation, escrevem artefatos `.mov` ou `.mp4` em locais incomuns e, possívelmente, realizam beacon ou exfiltração logo após a captura. A telemetria inclui logs do TCC (Transparency, Consent, and Control) do macOS, eventos do Unified Logging System relacionados a AVFoundation, e monitoramento de acesso ao sistema de arquivos com correlação de atividade de rede. Essa detecção é crítica pois adversários que comprometem sistemas macOS podem explorar o acesso à câmera para espionagem, e o TCC fornece uma trilha auditável de concessões de permissão suspeitas. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1125-video-capture|T1125 — Video Capture]] - [[t1113-screen-capture|T1113 — Screen Capture]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] --- *Fonte: [MITRE ATT&CK — AN0570](https://attack.mitre.org/detectionstrategies/DET0197#AN0570)*