# AN0611 — Analytic 0611 ## Descrição Este analítico detecta abuso de `DYLD_INSERT_LIBRARIES` ou sequestro de caminhos de frameworks para carregamento de bibliotecas maliciosas no macOS, observando processos que invocam dylibs anômalas, arquivos plist modificados ou entradas de persistência apontando para binários alterados. A telemetria inclui logs do Endpoint Security Framework com eventos de carregamento de dylib e verificação de proveniência, monitoramento de variáveis de ambiente de processos via `auditd` e verificação de integridade de plists de LaunchAgent/LaunchDaemon que possam definir `DYLD_INSERT_LIBRARIES`. Essa detecção é importante pois o abuso de `DYLD_INSERT_LIBRARIES` permite injeção de código em qualquer processo macOS, sendo usada por malware e ferramentas de pós-comprometimento para hooking de APIs, captura de credenciais e evasão de controles de segurança baseados em identidade de processo. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN0611](https://attack.mitre.org/detectionstrategies/DET0218#AN0611)*