# AN0966 — Analytic 0966 ## Descrição Este analítico detecta o uso malicioso dos utilitários `pbpaste` e `pbcopy` do macOS por processos sem sessão de terminal ativa ou vinculados a launch agents, potencialmente para staging de dados coletados da área de transferência. A telemetria é baseada nos logs do Unified Log e eventos do EndpointSecurity framework, monitorando o acesso a essas APIs por processos sem contexto de usuário interativo. Esta detecção é relevante para identificar malware que silenciosamente extrai senhas, tokens de autenticação ou dados financeiros copiados pelo usuário, frequentemente usado em campanhas de roubo de credenciais no macOS. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1115-clipboard-data|T1115 — Clipboard Data]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN0966](https://attack.mitre.org/detectionstrategies/DET0341#AN0966)*