# AN0739 — Analytic 0739 ## Descrição Esta analítica detecta remoção de artefatos do Apple Mail via AppleScript ou exclusão direta de conteúdo de caixa de correio em ~/Library/Mail/, especialmente quando precedida de acesso via Remote Login ou API de C2. A telemetria inclui Unified Logs do macOS para eventos do Mail.app, eventos do Endpoint Security Framework para operações de arquivo e logs de acesso remoto via SSH ou ARD. A detecção é importante em ambientes macOS corporativos para identificar adversários que realizam coleta de e-mails seguida de destruição de evidências. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0739](https://attack.mitre.org/detectionstrategies/DET0266#AN0739)*