# AN1460 — Analytic 1460 ## Descrição Detecta o uso de ferramentas nativas de arquivamento ou criptografia do macOS como `zip`, `ditto` e `hdiutil` para staging de dados coletados, identificando invocações inesperadas dessas ferramentas por aplicativos Office, navegadores ou daemons em segundo plano. A telemetria inclui Unified Logs, eventos do Endpoint Security Framework e monitoramento de criação de containers `.zip`/`.dmg` com anomalias na linhagem de processos. Esta analítica é relevante para detectar preparação de exfiltração em macOS, especialmente quando malware utiliza ferramentas nativas do sistema para evitar detecção por soluções de segurança que bloqueiam ferramentas de terceiros. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN1460](https://attack.mitre.org/detectionstrategies/DET0526#AN1460)*