# AN0990 — Analytic 0990 ## Descrição Este analítico detecta aplicações ou scripts não autorizados no macOS que acessam dados sensíveis e estabelecem comunicação de saída criptografada para destinos externos raros ou com razões de bytes anormais (upload/download ratio suspeito). A telemetria utilizada inclui eventos do Network Extension Framework e logs do Unified Log, monitorando conexões TLS estabelecidas por processos sem permissão explícita de rede em destinos de baixa reputação, correlacionando com eventos de acesso a arquivos sensíveis. Esta detecção é importante para identificar exfiltração por malware macOS sofisticado como OSX.ThiefQuest (EvilQuest) e variantes de spyware que combinam coleta de dados com exfiltração C2 criptografada. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0990](https://attack.mitre.org/detectionstrategies/DET0348#AN0990)*