# AN0678 — Analytic 0678 ## Descrição Detecta execução de ferramentas de banco de dados Java ou CLI — como DBeaver, Beekeeper, mysql ou psql — por perfis de usuário não vinculados a funções de dev/admin, especialmente quando seguidos de gravação de arquivos e atividade de sincronização com cloud. A telemetria inclui o Unified Log do macOS, FSEvents e logs de rede que correlacionam lançamentos de ferramentas GUI de banco de dados com gravações de arquivo em `~/Downloads` ou `~/Documents` e chamadas de API de saída para serviços de nuvem conhecidos. Essa analítica é relevante pois desenvolvedores macOS frequentemente têm acesso direto a bancos de dados de produção; o comprometimento de suas máquinas permite exfiltração silenciosa de dados críticos usando ferramentas legítimas. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0678](https://attack.mitre.org/detectionstrategies/DET0242#AN0678)*