# AN0480 — Analytic 0480 ## Descrição Detecta programas em Bash, Swift ou Objective-C que enumeram o perfil do sistema, o I/O Registry ou inspecionam extensões do kernel para identificar artefatos de máquina virtual. A telemetria inclui eventos do Endpoint Security Framework (ESF) do macOS, chamadas de API `IOKit` e logs do subsistema unificado do sistema. Esse comportamento é indicativo de malware que tenta identificar ambientes de análise antes de ativar funcionalidades maliciosas, sendo comum em campanhas avançadas contra macOS. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1106-native-api|T1106 — Native API]] --- *Fonte: [MITRE ATT&CK — AN0480](https://attack.mitre.org/detectionstrategies/DET0168#AN0480)*