# AN0716 — Analytic 0716 ## Descrição Detecta início de sessões de desktop remoto via AnyDesk, TeamViewer ou Chrome Remote Desktop acompanhado de logins de usuário inesperados ou modificações do sistema no macOS. A telemetria inclui o Unified Log do macOS, FSEvents e logs de processo que identificam aplicações RMM lançadas fora de horários de suporte corporativo ou por usuários sem histórico de uso dessas ferramentas, seguidas de ações de sistema anômalas. Essa analítica é importante para detectar abuso de ferramentas RMM em ataques de vishing onde adversários ligam para usuários macOS corporativos fingindo ser suporte de TI e obtêm acesso remoto para executar payloads, coletar credenciais ou realizar movimentação lateral na rede. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1219-remote-access-tools|T1219 — Remote Access Software]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1566-phishing|T1566 — Phishing]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0716](https://attack.mitre.org/detectionstrategies/DET0259#AN0716)*