# AN1215 — Analytic 1215 ## Descrição Detecta arquivamento personalizado no macOS monitorando a execução de apps Swift/Objective-C ou scripts que produzem arquivos de alta entropia com cabeçalhos não padronizados. A telemetria inclui logs unificados de operações anômalas com NSFileHandle/NSData, uso de memória para operações XOR/bitwise e eventos de criação de arquivos. Essa análise permite identificar adversários que preparam dados para exfiltração em ambientes macOS evitando ferramentas nativas de compressão. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059.002-applescript|T1059.002 — AppleScript]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN1215](https://attack.mitre.org/detectionstrategies/DET0438#AN1215)*