# AN0057 — Analytic 0057 ## Descrição Detecta criação de AppleScripts run-only ou binários Mach-O sem tabela de símbolos e referências de string, especialmente quando despejados por mecanismos de scripting em espaço de usuário ou aplicativos de staging, indicando ofuscação intencional para dificultar análise. A telemetria inclui análise de Mach-O (ausência de seção __LINKEDIT com símbolos), logs do Endpoint Security Framework para criação de arquivo e correlação com execução subsequente de binários sem histórico conhecido. Esse analítico detecta implantes macOS específicamente preparados para evadir análise de malware e ferramentas de detecção baseadas em strings, uma característica comum em implantes APT como BUNDLORE e PIRRIT. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0057](https://attack.mitre.org/detectionstrategies/DET0019#AN0057)*