# AN0413 — Analytic 0413 ## Descrição Detecta destruição de dados em macOS via `rm -rf`, sobrescrita com `dd` ou `srm`, frequentemente executada por scripts em `/tmp` ou `/private/tmp`, podendo incluir sobrescrita de arquivos com imagens políticas ou de decoy. A telemetria necessária inclui Endpoint Security Framework do macOS para eventos de sistema de arquivos, logs unificados de auditoria de processo e monitoramento de acesso a diretórios temporários por scripts não reconhecidos. Essa detecção é importante para identificar wipers específicos de macOS utilizados em ataques de hacktivismo ou sabotagem, onde dados são destruídos como mensagem política ou para cobrir rastros. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1561-disk-wipe|T1561 — Disk Wipe]] --- *Fonte: [MITRE ATT&CK — AN0413](https://attack.mitre.org/detectionstrategies/DET0146#AN0413)*