# AN0685 — Analytic 0685 ## Descrição Monitora logs do FaceTime, iMessage ou clientes SIP em busca de tentativas anômalas de chamadas de voz, vinculando-as a eventos subsequentes de execução do usuário como downloads ou instalações de RMM acionados pós-chamada. A telemetria inclui o Unified Log do macOS (subsistemas de comunicação), FSEvents e logs de processo que identificam a cadeia temporal entre um evento de chamada recebida e ações suspeitas do usuário como execução de `AnyDesk.dmg` ou `TeamViewer.pkg`. Essa analítica é importante para detectar ataques de vishing direcionados a usuários macOS corporativos, frequentemente utilizados em campanhas de BEC e de ransomware para obter acesso inicial à rede. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1219-remote-access-tools|T1219 — Remote Access Software]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0685](https://attack.mitre.org/detectionstrategies/DET0245#AN0685)*