# AN0897 — Analytic 0897 ## Descrição Este analytic detecta aplicações Office ou de scripting iniciando tráfego HTTPS incomum para APIs de repositórios de código com altas razões de saída/entrada de bytes, monitorando o acesso a arquivos sensíveis combinado com conexões de rede para github.com, gitlab.com ou bitbucket.org. A telemetria empregada inclui logs do Endpoint Security Framework do macOS, Unified Logs e capturas de tráfego de rede. Em macOS, este padrão é especialmente relevante para detectar campanhas de espionagem direcionadas a desenvolvedores e pesquisadores, onde adversários aproveitam a presença nativa de ferramentas git e curl para exfiltrar código-fonte ou dados proprietários de forma discreta. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1567-001-exfiltration-to-code-repository|T1567.001 — Exfiltration to Code Repository]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN0897](https://attack.mitre.org/detectionstrategies/DET0318#AN0897)*