# AN0799 — Analytic 0799 ## Descrição Esta analítica detecta exploração de aplicativo cliente no macOS via cadeia causa→efeito: (1) crash/encerramento anormal de app nos Unified Logs do Safari/Chrome/Office/Preview, (2) novos arquivos/scripts em ~/Library, ~/Downloads, /private/var/folders/*, (3) filho inesperado (osascript, zsh, bash, curl) spawned por esses apps e (4) novas conexões de saída. A telemetria inclui Unified Logs do macOS com subsistema com.apple.ReportCrash, Endpoint Security Framework para criação de arquivos e processos pós-crash e análise de tráfego de rede via Little Snitch ou EDR. A detecção é importante para identificar exploração de vulnerabilidades em aplicativos populares macOS, que frequentemente são alvos de grupos APT em campanhas direcionadas contra jornalistas, ativistas e profissionais de segurança. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1203-exploitation-for-client-execution|T1203 — Exploitation for Client Execution]] - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0799](https://attack.mitre.org/detectionstrategies/DET0287#AN0799)*