# AN0789 — Analytic 0789 ## Descrição Esta analítica detecta no macOS processos como osascript, curl ou aplicativos Office enviando dados para APIs/domínios de armazenamento de texto, identificando leituras anômalas de clipboard ou arquivos por aplicativos inesperados imediatamente seguidas de requisições HTTPS de saída para serviços similares ao Pastebin. A telemetria inclui Unified Logs do macOS para operações de acesso ao clipboard, Endpoint Security Framework para operações de arquivo e logs de rede do sistema para requisições POST HTTPS para domínios de paste conhecidos. A detecção é importante para identificar infostealer macOS e RATs que utilizam serviços de paste como canal de exfiltração para extrair credenciais, chaves SSH e dados de configuração de sistemas Apple. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1115-clipboard-data|T1115 — Clipboard Data]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0789](https://attack.mitre.org/detectionstrategies/DET0284#AN0789)*