# AN0093 — Analytic 0093 ## Descrição Detecta o uso dos comandos chflags hidden ou SetFile -a V para ocultar arquivos no macOS, bem como a criação de arquivos com ponto inicial ('.') que os torna invisíveis no Finder e no terminal por padrão. A telemetria abrange o monitoramento de execução de processos via Endpoint Security Framework para capturar invocações de chflags e SetFile, além de eventos de metadados de arquivo que definem o atributo UF_HIDDEN. Este analítico é crítico pois a ocultação de arquivos no macOS é utilizada por malware como Bundlore, Shlayer e outros adware/stealers para esconder payloads e componentes de persistência dos olhos do usuário e de ferramentas de varredura convencionais. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0093](https://attack.mitre.org/detectionstrategies/DET0032#AN0093)*