# AN0362 — Analytic 0362 ## Descrição Detecta modificação de arquivos plist para definir flags como `apple.awt.UIElement` que ocultam ícones e janelas de aplicativos, bem como atividade de `dscl` ou linha de comando que suprime a visibilidade de processos, correlacionada com aplicativos de usuário ocultos inesperados. A telemetria inclui monitoramento de modificações em plists de aplicativos, eventos do Endpoint Security Framework e análise de aplicativos em execução sem interface visível. Essa analítica é importante porque malwares macOS sofisticados frequentemente se ocultam da barra de menu e da barra de tarefas usando flags de plist, tornando-se invisíveis ao usuário enquanto executam atividades maliciosas em background. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0362](https://attack.mitre.org/detectionstrategies/DET0128#AN0362)*