# AN0090 — Analytic 0090 ## Descrição Detecta binários ou aplicações executados com assinaturas de código adulteradas ou não verificáveis no macOS, frequentemente associados a bypasses do Gatekeeper, App Translocation, ou uso de launch daemons não assinados por usuários não confiáveis. A telemetria inclui logs do Endpoint Security Framework para verificação de assinatura de código, eventos do Gatekeeper no Unified Logging (subsistema com.apple.xpc.activity2), e registros de quarentena de arquivos (com.apple.quarantine). Este analítico é importante porque o macOS depende fortemente de assinaturas de código como controle de segurança primário, e seu bypass permite execução de malware não detectado pelo XProtect. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] --- *Fonte: [MITRE ATT&CK — AN0090](https://attack.mitre.org/detectionstrategies/DET0031#AN0090)*