# AN0068 — Analytic 0068 ## Descrição Detecta binários Mach-O empacotados descomprimindo-se em memória e transferindo controle para segmentos de código dinâmicamente modificados no macOS, indicando uso de empacotadores personalizados por malware para evadir análise estática e assinaturas de antivírus. A telemetria inclui o Endpoint Security Framework do macOS para mapeamento de memória executável, análise de comportamento de dyld e dados de EDR para execução em regiões de memória não originadas de arquivos Mach-O assinados. Esse analítico é importante para macOS onde implantes avançados como OCEANLOTUS (APT32) e outros utilizam empacotadores custom para ocultar payloads de ferramentas de análise e soluções de segurança estáticas. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN0068](https://attack.mitre.org/detectionstrategies/DET0023#AN0068)*