# AN0340 — Analytic 0340 ## Descrição Detecta criação ou modificação de Login Items via AppleScript ou Service Management Framework, com foco em escrita no arquivo `backgrounditems.btm`, criação de executáveis em `Contents/Library/LoginItems/` ou uso da API `SMLoginItemSetEnabled`. A telemetria inclui eventos do Endpoint Security Framework, modificações de plist, eventos de AppleEvents anômalos e cadeias de execução disparadas após login sem interação do usuário. Essa analítica é fundamental para identificar malwares macOS que garantem persistência sobrevivendo ao logout e reinicialização do sistema por meio do mecanismo legítimo de Login Items. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0340](https://attack.mitre.org/detectionstrategies/DET0121#AN0340)*