# AN1072 — Analytic 1072 ## Descrição Este analítico detecta o uso adversarial de bash/zsh ou AppleScript para localizar arquivos e alvos de exfiltração, como keychains de usuário ou documentos sensíveis, no macOS. Utiliza telemetria do Endpoint Security Framework (ESF) e monitoramento de acesso a arquivos para identificar padrões de busca e leitura de arquivos de alto valor fora de contextos legítimos de aplicação. A detecção é importante porque malware no macOS frequentemente alvejá específicamente keychains e carteiras de criptomoedas, tornando a correlação entre scripts de busca e acessos a esses arquivos um indicador forte de comprometimento. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1119-automated-collection|T1119 — Automated Collection]] --- *Fonte: [MITRE ATT&CK — AN1072](https://attack.mitre.org/detectionstrategies/DET0380#AN1072)*