# AN0653 — Analytic 0653 ## Descrição Detecta uso anômalo do Preview, ImageMagick ou editores binários para alterar imagens ou documentos, seguido de exfiltração ou conexões de saída com tipos MIME de arquivo inconsistentes ou estrutura de payload suspeita. A telemetria inclui o Unified Log do macOS, logs de rede (pflog) e eventos de acesso a arquivos que correlacionam modificação de conteúdo de mídia com transferências externas incomuns. Essa analítica é relevante pois adversários que comprometem sistemas macOS podem usar ferramentas nativas como `sips` e `convert` para ocultar payloads em arquivos de imagem antes de exfiltrar dados pela rede. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0653](https://attack.mitre.org/detectionstrategies/DET0235#AN0653)*