# AN0657 — Analytic 0657 ## Descrição Detecta phishing por anexo no macOS por meio de correlação de logs do Mail.app, criação de arquivos em diretórios do usuário e execução anômala de processos — como Preview.app ou Mail.app gerando Terminal ou binários de scripting. A telemetria inclui o Unified Log do macOS, FSEvents e logs de atividade de rede que rastreiam a cadeia desde a abertura do anexo até conexões externas subsequentes. Essa analítica é relevante pois o ecossistema macOS é cada vez mais visado por grupos como LazarusGroup e DarkMatter, que utilizam documentos maliciosos para comprometer usuários corporativos de alto valor. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0657](https://attack.mitre.org/detectionstrategies/DET0236#AN0657)*