# AN1573 — Analytic 1573 ## Descrição Este analítico detecta aplicações ou scripts invocando APIs de armazenamento em nuvem (sincronização Dropbox, iCloud, cliente Google Drive) em contextos inesperados no macOS, com foco em leituras de arquivo sensível por aplicações não padronizadas seguidas de uploads criptografados incomuns para domínios de armazenamento externo. A telemetria é obtida do Endpoint Security Framework (ESF) e do unified log do macOS que registram acessos a arquivo e conexões de rede com contexto de processo completo, permitindo identificar aplicações que normalmente não sincronizam com armazenamento em nuvem mas estão fazendo uploads incomuns. A relevância para detecção é importante pois malware macOS frequentemente abusa de clientes de armazenamento já instalados para exfiltrar dados, mesclando o tráfego malicioso com sincronização legítima de arquivos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 — Exfiltration to Cloud Storage]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN1573](https://attack.mitre.org/detectionstrategies/DET0570#AN1573)*