# AN0141 — Analytic 0141 ## Descrição Detecta criação ou modificação suspeita de arquivo em diretórios ignorados pelo XProtect ou exclusões de AV no macOS, como ~/Library ou diretórios temporários de cache, correlacionada com atividade de execução ou persistência. A telemetria abrange o Endpoint Security Framework para monitorar eventos de arquivo (ES_EVENT_TYPE_NOTIFY_CREATE) em diretórios de exclusão conhecidos, logs do Unified Logging para rastrear interações com XProtect (subsistema com.apple.MRT), e análise de quais processos criam arquivos executáveis em caminhos ignorados por varredura. Este analítico detecta malware macOS que se instala em locais deliberadamente escolhidos para evitar varredura de segurança, aproveitando que XProtect e soluções AV de terceiros frequentemente excluem caches de aplicação e diretórios de suporte. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0141](https://attack.mitre.org/detectionstrategies/DET0051#AN0141)*