# AN0239 — Analytic 0239 ## Descrição Detecta no macOS payloads codificados sendo decodificados e executados em memória usando ferramentas de scripting ou decodificadores de terceiros, cobrindo execução sem arquivo onde o código malicioso nunca toca o disco em forma executável. A telemetria inclui Unified Logs de execuções de ferramentas de decodificação com análise de argumentos (base64, openssl), FSEvents para ausência de criação de arquivo executável após decodificação e monitoramento de processos iniciados via pipe de saída de decodificadores que estabelecem conexões de rede. Essa analítica é relevante para detectar implantes macOS avançados como OCSEVEN e outros usados por grupos APT que utilizam execução sem arquivo para contornar o Gatekeeper e inspeção de arquivo do macOS, garantindo que nenhum binário malicioso assinável sejá criado em disco durante a cadeia de execução. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN0239](https://attack.mitre.org/detectionstrategies/DET0087#AN0239)*