# AN0833 — Analytic 0833 ## Descrição Esta analítica detecta a invocação de utilitários de arquivamento nativos do macOS (zip, ditto, hdiutil) ou openssl para criptografia, correlacionando execução com a criação de arquivos compactados ou criptografados (.zip, .dmg, .tar.gz) em diretórios de usuário ou temporários. A telemetria utilizada inclui o EndpointSecurity Framework e logs do Unified Log, com aténção especial ao uso anômalo de comandos de arquivamento por aplicações Office ou daemons. Esta detecção identifica preparação de exfiltração em endpoints macOS corporativos, onde stealers e implantes APT frequentemente compactam dados sensíveis como documentos e keychains antes de enviá-los ao C2. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1560-001-archive-via-utility|T1560.001 — Archive via Utility]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN0833](https://attack.mitre.org/detectionstrategies/DET0298#AN0833)*