# AN0542 — Analytic 0542 ## Descrição Este analítico detecta XProtect ou AV colocando em quarentena uma ferramenta conhecida no macOS, seguido por modificação do arquivo (tamanho, hash, string) e re-execução subsequente pelo mesmo usuário ou relacionado. A telemetria inclui eventos de quarentena do XProtect/Gatekeeper em Unified Logs, FSEvents para modificação de arquivo pós-quarentena, e eventos de execução de processos do EndpointSecurity Framework correlacionando o hash antigo e o novo. Essa técnica de evasão adaptativa é cada vez mais comum em malware macOS avançado que monitora alertas de segurança e responde modificando seus payloads para superar detecções baseadas em assinatura. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN0542](https://attack.mitre.org/detectionstrategies/DET0189#AN0542)*