# AN0374 — Analytic 0374 ## Descrição Detecta aplicativo em modo de usuário que usa `flock()` ou `NSDistributedLock` para obter acesso exclusivo a um arquivo de recurso (como `/tmp/guard.lock`), com lógica condicional que altera a execução caso o bloqueio já exista, indicando mecanismo anti-reinfecção de malware macOS. A telemetria inclui monitoramento de syscalls via Endpoint Security Framework, análise de arquivos de lock em diretórios temporários e comportamento de processos com fluxo condicional baseado em estado de arquivos. Essa analítica é importante porque malwares sofisticados para macOS utilizam primitivas de sincronização do sistema operacional para evitar múltiplas instâncias, um padrão comportamental detectável mesmo sem assinatura de arquivo. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1480-execution-guardrails|T1480 — Execution Guardrails]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0374](https://attack.mitre.org/detectionstrategies/DET0132#AN0374)*