# AN0621 — Analytic 0621 ## Descrição Este analítico detecta processos no macOS que invocam frameworks AVFoundation ou CoreAudio, acessam dispositivos de entrada via logs TCC ou Unified Logs, seguidos de escrita de arquivos AIFF, WAV ou MP3 em disco por processos sem histórico legítimo de captura de áudio. A telemetria inclui logs TCC com registros de solicitações de acesso ao microfone, eventos do macOS Unified Logging para AVFoundation com captura de áudio e monitoramento de criação de arquivos de formato de áudio pelo Endpoint Security Framework com correlação de identidade do processo originador. Essa detecção é crítica pois o macOS é amplamente usado em ambientes executivos e de desenvolvimento de alto valor, e sua integração nativa com hardware de áudio de qualidade o torna alvo privilegiado para malware de espionagem que se aproveita do TCC como ponto de auditoria de acesso a sensores. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1123-audio-capture|T1123 — Audio Capture]] - [[t1125-video-capture|T1125 — Video Capture]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1056-input-capture|T1056 — Input Capture]] --- *Fonte: [MITRE ATT&CK — AN0621](https://attack.mitre.org/detectionstrategies/DET0221#AN0621)*