# AN0121 — Analytic 0121 ## Descrição Detecta chamadas de sistema ou comandos que acessam configurações de locale do macOS, como defaults read -g AppleLocale ou systemsetup -gettimezone, correlacionando com processos pai incomuns ou contextos de execução inesperados. A telemetria inclui o Endpoint Security Framework para monitorar execuções de defaults e systemsetup, logs do Unified Logging para rastrear chamadas relacionadas a configurações do sistema, e alertas quando aplicações não interativas consultam essas informações. Este analítico é relevante porque adware e stealers macOS verificam locale antes de executar para evitar análise em sandboxes de pesquisa tipicamente configuradas com locale genérico em inglês. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1614-system-location-discovery|T1614 — System Location Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0121](https://attack.mitre.org/detectionstrategies/DET0043#AN0121)*