# AN0398 — Analytic 0398 ## Descrição Detecta uso de chamadas `usleep`, `nanosleep` ou `NSTimer` em executáveis ou binários sem interação de GUI, especialmente quando seguidas de atividade de disco ou rede. A telemetria inclui eventos do Endpoint Security Framework para syscalls de temporização em processos sem janela de interface, análise de padrões de espera em processos em background e correlação com atividade posterior de escrita em arquivo ou rede. Essa analítica é importante para macOS porque malwares e stealers sofisticados implementam delays precisos de microsegundo para evadir análise de sandbox e executar payloads apenas após um período específico de inatividade observada. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1480-execution-guardrails|T1480 — Execution Guardrails]] --- *Fonte: [MITRE ATT&CK — AN0398](https://attack.mitre.org/detectionstrategies/DET0141#AN0398)*