# AN1066 — Analytic 1066 ## Descrição Este analítico monitora o uso de ferramentas de arquivo ou criptografia (`zip`, `openssl`) vinculadas a atividade de scripts do usuário ou binários que escrevem payloads codificados em `/Users` ou `/Volumes` no macOS. Utiliza telemetria do Endpoint Security Framework (ESF) e monitoramento de acesso a arquivos para identificar a fase de empacotamento de dados antes de exfiltração. A detecção é relevante porque a criação de arquivos compactados ou criptografados em diretórios de usuário é um indicador comportamental claro da etapa de preparação para exfiltração em campanhas direcionadas. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1066](https://attack.mitre.org/detectionstrategies/DET0378#AN1066)*