# AN0260 — Analytic 0260 ## Descrição Esta analítica detecta a criação ou alteração de LaunchAgents ou LaunchDaemons com modificação de arquivo plist correspondente, seguida pela execução dos binários associados. A telemetria utilizada inclui eventos do Endpoint Security Framework para operações de arquivo em `~/Library/LaunchAgents/` e `/Library/LaunchDaemons/`, correlacionados com logs de criação de processos. A detecção é crítica pois LaunchAgents e LaunchDaemons são os mecanismos de persistência mais comuns em macOS, usados por malwares como Silver Sparrow, Bundlore e campanhas de adware direcionadas ao Brasil. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1543-003-windows-service|T1543.004 — Launch Daemon]] - [[t1547-011-plist-modification|T1547.011 — Plist Modification]] - [[t1053-004-launchd|T1053.004 — Launchd]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0260](https://attack.mitre.org/detectionstrategies/DET0094#AN0260)*