# AN0231 — Analytic 0231 ## Descrição Detecta modificação de papéis de parede do desktop do usuário, mensagens da tela de login ou banners de sistema por adversários usando privilégios de admin ou execução de script, podendo coincidir com adulteração em `/Library/Desktop Pictures/` ou uso de AppleScript. A telemetria inclui Unified Logs de escrita em caminhos de wallpaper e configurações de tela de login, FSEvents para modificações em `/Library/Desktop Pictures/` ou caminhos de preferência de usuário relacionados e execuções de osascript que configuram propriedades de aparência do sistema. Essa analítica detecta defacement em macOS frequentemente associado a ransomware que modifica o wallpaper para exibir notas de resgate, ou a hacktivistas que acessam sistemas macOS corporativos para comunicar mensagens políticas, sendo um indicador tardio porém inequívoco de comprometimento bem-sucedido. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1491-defacement|T1491 — Defacement]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0231](https://attack.mitre.org/detectionstrategies/DET0082#AN0231)*