# AN0794 — Analytic 0794 ## Descrição Esta analítica monitora atividade do Mail.app ou Unified Logs do macOS para uso anômalo de SMTP, incluindo incompatibilidades entre nome de exibição e credenciais AppleID ou Exchange autenticadas, detectando também uso de utilitários de e-mail de terceiros que tentam enviar em nome de identidades corporativas. A telemetria inclui Unified Logs do macOS para sessões de Mail.app e atividade SMTP, eventos do Endpoint Security Framework para execução de clientes de e-mail alternativos e logs de autenticação para uso de credenciais corporativas. A detecção é relevante em ambientes macOS corporativos para identificar infostealer ou RAT que abusa de clientes de e-mail para BEC, exfiltração de dados via e-mail ou distribuição interna de phishing. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN0794](https://attack.mitre.org/detectionstrategies/DET0286#AN0794)*