# AN1590 — Analytic 1590 ## Descrição Detecta criação ou modificação de regras do Apple Mail por meio de acesso a arquivos plist ou automação de GUI via AppleScript, que podem ser usadas para encaminhar silenciosamente emails a endereços externos controlados pelo adversário. A telemetria é coletada pelo Endpoint Security Framework (ESF) do macOS, monitorando acessos ao arquivo de regras do Mail e execuções de AppleScript com contexto suspeito. A manipulação de regras de email em macOS é uma técnica de coleta de inteligência persistente, especialmente contra alvos de alto valor como executivos e pesquisadores. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] --- *Fonte: [MITRE ATT&CK — AN1590](https://attack.mitre.org/detectionstrategies/DET0576#AN1590)*