# AN0877 — Analytic 0877 ## Descrição Esta analítica detecta a habilitação de sniffing de interface via ferramentas de captura de pacotes ou AppleScript acionando `tcpdump` no macOS. Utiliza o Unified Log e linhagem de processo para identificar uso suspeito de `pfctl`, `tcpdump` ou bibliotecas `libpcap`, especialmente quando invocados por processos não privilegiados ou com linhagem de processo incomum. A telemetria utilizada inclui o EndpointSecurity Framework para monitorar carregamento de extensões de kernel de rede e execução de ferramentas de captura. Esta detecção é relevante para identificar malware macOS que captura tráfego de rede para coletar credenciais de sessão, tokens de autenticação ou dados sensíveis transmitidos em redes locais de empresas com dispositivos Apple. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0877](https://attack.mitre.org/detectionstrategies/DET0314#AN0877)*