# AN0054 — Analytic 0054 ## Descrição Detecta um processo carregando uma .dylib/.so não pertencente ao sistema via dyld (dlopen/dlsym) a partir de localizações graváveis pelo usuário (~/Library, /tmp) ou após criação/download recente da biblioteca, frequentemente seguida de egress de rede ou persistência, indicando possível dylib hijacking ou injeção de código no macOS. A telemetria inclui o Endpoint Security Framework do macOS para eventos de carregamento de biblioteca dinâmica, monitoramento de criação de arquivo em diretórios de usuário e correlação com comúnicações de rede subsequentes. Esse analítico é relevante para macOS onde dylib hijacking é uma técnica utilizada por implantes APT e malware como BUNDLORE, SHLAYER para persistência e escalada de privilégios. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0054](https://attack.mitre.org/detectionstrategies/DET0018#AN0054)*