# AN0129 — Analytic 0129 ## Descrição Detecta a execução de scripts ou binários que verificam indicadores de virtualização no macOS, como system_profiler, ioreg -l ou kextstat, combinados com funções de delay ou atividade anômala de launchd. A telemetria inclui o Endpoint Security Framework para monitorar execuções desses utilitários de diagnóstico, o Unified Logging para rastrear consultas ao IOKit via ioreg, e correlação de timing para identificar sleeps artificiais antes de execução de payload. Este analítico detecta malware macOS que realiza verificações de ambiente para determinar se está sendo executado em uma VM ou ambiente de análise antes de ativar comportamento malicioso, como observado em amostras de AMOS e adware avançado. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0129](https://attack.mitre.org/detectionstrategies/DET0046#AN0129)*