# AN1513 — Analytic 1513 ## Descrição Detecta aplicativos Office ou scripts gravando arquivos seguidos de manipulação de atributos estendidos via `xattr` (para evadir quarentena) e uploads HTTPS subsequentes em macOS. A telemetria inclui Unified Logs, Endpoint Security Framework para monitoramento de operações `xattr` e análise de tráfego TLS de saída originado de aplicativos que normalmente não realizam uploads (Word, Excel, Preview). Esta analítica é importante para detectar exfiltração de dados em macOS via aplicativos de produtividade comprometidos, onde malware injeta código nos processos para usar canais de comunicação confiáveis e contornar controles de firewall de aplicação. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN1513](https://attack.mitre.org/detectionstrategies/DET0548#AN1513)*