# AN0601 — Analytic 0601 ## Descrição Este analítico detecta binários Mach-O ou AppleScripts no macOS que contêm payloads embutidos aninhados, codificados ou do tipo run-only, descartados em tempo de execução em locais como `/tmp` ou diretórios de usuário. A telemetria inclui análise de assinatura de código e verificação de integridade Gatekeeper, logs do Endpoint Security Framework com eventos de criação de processos filhos, e monitoramento de escrita de arquivos em diretórios temporários por processos que não deveriam gerar novos executáveis. Essa detecção é relevante pois binários macOS com payloads embutidos são usados para contornar o Gatekeeper ao assinar apenas o dropper externo, enquanto os payloads internos (frequentemente sem assinatura) são executados após extração. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN0601](https://attack.mitre.org/detectionstrategies/DET0214#AN0601)*