# AN1624 — Analytic 1624 ## Descrição Esta analítica detecta modificação de conteúdo web em macOS via ambientes de desenvolvimento como MAMP ou instâncias Apache mal configuradas, tipicamente com acesso à conta de usuário de hospedagem ou via ferramentas de persistência que comprometeram o sistema. A telemetria inclui monitoramento via `FSEventStream` ou `auditd` em diretórios raiz de servidores locais (`/Applications/MAMP/htdocs/`, `/Library/WebServer/Documents/`), correlacionado com processos que realizam gravações fora de fluxos legítimos de desenvolvimento. Esta detecção cobre vetores menos explorados em ambientes de desenvolvimento macOS onde desenvolvedores hospedam conteúdo localmente ou em staging. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1491-defacement|T1491 — Defacement]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN1624](https://attack.mitre.org/detectionstrategies/DET0590#AN1624)*