# AN1011 — Analytic 1011 ## Descrição Este analítico detecta o recebimento repetitivo de mensagens com anexos no macOS via Mail.app, monitorando volumes elevados de e-mail armazenados em `~/Library/Mail` com temporização ou assuntos incomuns que divergem do comportamento habitual do usuário. A telemetria utilizada inclui logs do Unified Log para atividade do Mail.app, eventos de criação de arquivos em `~/Library/Mail/V9/` e eventos do EndpointSecurity framework para monitorar abertura de anexos e execução de processos subsequentes originados do cliente de e-mail. A detecção é relevante para identificar campanhas de phishing direcionadas em ambiente macOS corporativo, onde múltiplos anexos maliciosos são entregues sequencialmente para aumentar a probabilidade de execução pelo usuário alvo. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1011](https://attack.mitre.org/detectionstrategies/DET0355#AN1011)*