# AN0632 — Analytic 0632 ## Descrição Este analítico detecta binários no macOS disfarçados como mídia ou tipos de documentos através de mascaramento apenas por extensão ou modificando a assinatura do arquivo, observando execução de arquivos cujá extensão normalmente não é executável (`.jpg`, `.txt`) mas que possuem cabeçalhos Mach-O válidos ou são executados via Terminal ou launch services. A telemetria inclui verificação de tipo de arquivo via `file(1)` em arquivos recém-criados comparada à extensão declarada, logs do Endpoint Security Framework com eventos de tentativa de execução de arquivos e alertas de Gatekeeper para arquivos com inconsistência entre tipo e extensão. Essa detecção é relevante no macOS pois o sistema operacional tenta executar arquivos com base em seu tipo real (magic bytes) independentemente da extensão, sendo um vetor de engano usado em campanhas de malware que exploram a confiança do usuário em tipos de arquivo familiares. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN0632](https://attack.mitre.org/detectionstrategies/DET0226#AN0632)*