# AN0432 — Analytic 0432 ## Descrição Detecta execução de processo ou script de `systemsetup -gettimezone`, `daté`, `ioreg` ou uso de API (`timeIntervalSinceNow`, `gettimeofday`) seguido de agendamento baseado em tempo via modificação de plists do launchd ou execução com sleep condicional. A telemetria necessária inclui logs unificados do macOS (Unified Logs) para rastrear execução de comandos de tempo, monitoramento de modificações em diretórios de LaunchAgents/LaunchDaemons e correlação de acesso ao sistema de preferências com atividade de rede subsequente. Essa detecção é relevante em macOS porque malware como [[silverlight-stealer]] e outros utilizados em espionagem corporativa frequentemente usa reconhecimento de fuso horário para identificar a localização geográfica da vítima antes de ativar funcionalidades específicas. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1124-system-time-discovery|T1124 — System Time Discovery]] - [[t1053-004-scheduled-task-job-launchd|T1053.004 — Launchd]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1059-002-command-and-scripting-interpreter-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0432](https://attack.mitre.org/detectionstrategies/DET0151#AN0432)*