# AN0228 — Analytic 0228 ## Descrição Detecta no macOS uso de binários do sistema como `osascript`, `bash` ou `curl` para baixar ou executar código ou arquivos não assinados em conjunto com proxy de aplicação, técnica que aproveita confiança do sistema em binários nativos para contornar controles de Gatekeeper e assinatura de código. A telemetria inclui Unified Logs de execuções de osascript com conteúdo de script para análise, FSEvents para criação de arquivo não assinado após download com curl e eventos de quarentena do Gatekeeper para arquivos obtidos via binários do sistema sem flag de quarentena adequada. Essa analítica detecta abuso de LOLBins específicos do macOS, onde adversários utilizam ferramentas nativas da plataforma para executar código malicioso enquanto evitam alertas de Gatekeeper que normalmente bloqueariam executáveis baixados de fontes não confiáveis sem quarentena aplicada. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0228](https://attack.mitre.org/detectionstrategies/DET0081#AN0228)*