# AN1412 — Analytic 1412 ## Descrição Detecta quando um adversário conecta um drive USB ao sistema macOS e acessa arquivos sensíveis utilizando Finder, cp ou scripts bash para cópia e exfiltração de dados. A telemetria inclui eventos do Endpoint Security Framework (ESF) relacionados à montagem de volumes removíveis, acesso a arquivos em /Volumes/ e execução de comandos de cópia por processos não esperados nesse contexto. Essa detecção complementa controles de DLP em ambientes corporativos macOS, identificando exfiltração física que pode contornar monitoramento de rede e políticas de endpoint focadas em tráfego de saída. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1052-001-exfiltration-over-usb|T1052.001 — Exfiltration over USB]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1074-001-local-data-staging|T1074.001 — Local Data Staging]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN1412](https://attack.mitre.org/detectionstrategies/DET0511#AN1412)*