# AN0273 — Analytic 0273 ## Descrição Esta analítica detecta processos que utilizam AppleScript, `CGWindowListCopyWindowInfo` ou APIs `NSRunningApplication` para listar janelas de aplicativos ativas e processos em primeiro plano no macOS. A telemetria inclui eventos do Endpoint Security Framework para execução de osascript e chamadas de API monitoradas por ferramentas de análise de comportamento. A detecção é relevante pois a descoberta de janelas abertas no macOS é comportamento típico de stalkerware e RATs como RustBucket e CloudMensis, que identificam aplicativos financeiros e de comunicação antes de iniciar coleta de dados. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1010-application-window-discovery|T1010 — Application Window Discovery]] - [[t1113-screen-capture|T1113 — Screen Capture]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0273](https://attack.mitre.org/detectionstrategies/DET0097#AN0273)*