# AN0073 — Analytic 0073 ## Descrição Detecta abuso de aplicações Electron no macOS por modificação de bundles app.asar e geração de processos filhos (osascript, curl, sh) a partir de executáveis Electron como Slack, VS Code ou Microsoft Teams, indicando comprometimento de aplicativo para execução de código malicioso. A telemetria inclui o Endpoint Security Framework do macOS para modificação de arquivos .asar e geração de processos filhos incomuns de aplicativos Electron, além de análise de assinatura de código para detectar bundles modificados. Esse analítico detecta um vetor de ataque específico para macOS onde aplicativos Electron não são protegidos adequadamente pelo SIP (System Integrity Protection), permitindo modificação e abuso por adversários com acesso de usuário. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN0073](https://attack.mitre.org/detectionstrategies/DET0025#AN0073)*