# AN1191 — Analytic 1191 ## Descrição Detecta agentes de usuário ou serviços em segundo plano fazendo chamadas de API web não autorizadas ou não agendadas a serviços de nuvem/web por HTTPS no macOS. A telemetria inclui Unified Logs com foco em processos de rede, logs do mDNSResponder, monitoramento de conexões via Endpoint Security Framework e correlação de processos para identificar daemons ou agentes que se comúnicam com serviços web externos fora de contextos de uso legítimo. Esse analítico detecta malware macOS que abusa de serviços web como Slack, iCloud, Dropbox ou Microsoft Graph para C2, aproveitando a confiança inerente nesses destinos para evitar bloqueio por proxies e firewalls. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1102-web-service|T1102 — Web Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN1191](https://attack.mitre.org/detectionstrategies/DET0425#AN1191)*