# AN1296 — Analytic 1296 ## Descrição Detecta aplicações não assinadas ou suspeitas que iniciam tráfego de rede alegando ser browsers, clientes de email ou aplicações de nuvem, identificando a personificação via fingerprint TLS e desvio de string User-Agent. A telemetria inclui unified logs do macOS, análise de fingerprinting JA3/JA3S de conexões TLS de saída, verificação de assinatura de código (Gatekeeper) e correlação com o processo que originou a conexão. Esta detecção é relevante pois malware de macOS frequentemente se disfarça como aplicações legítimas para evitar bloqueios por firewall e inspeção de tráfego, sendo um padrão comum em campanhas de espionagem que visam dispositivos Apple. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1102-web-service|T1102 — Web Service]] --- *Fonte: [MITRE ATT&CK — AN1296](https://attack.mitre.org/detectionstrategies/DET0470#AN1296)*