# AN0500 — Analytic 0500 ## Descrição Este analítico detecta drive-by compromise no macOS correlacionando processos Safari/Chrome/WebKit que fazem requisições de rede para recursos JS incomuns ou ofuscados, seguidos por spawn de interpretadores de script, binários ad-hoc ou carregamentos de library dinâmica em processos do navegador. A telemetria inclui logs de proxy/HTTP para conteúdo suspeito, Unified Logs/ASL mostrando crashes de browser/plugin ou carregamento de extensões, e eventos de processo indicando criação de processos filhos e escrita de arquivos em `/var/folders` ou `/tmp` após o fetch. Essa detecção é estratégica pois macOS é um alvo crescente de campanhas de drive-by focadas em desenvolvedores e usuários de alto valor. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1189-drive-by-compromise|T1189 — Drive-by Compromise]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN0500](https://attack.mitre.org/detectionstrategies/DET0176#AN0500)*