# AN0749 — Analytic 0749 ## Descrição Esta analítica detecta arquivamento malicioso no macOS via bibliotecas do sistema ou de terceiros (libz, libarchive) invocadas por Python, Swift ou binários Objective-C, correlacionando logs unificados de carregamento de bibliotecas com criação de arquivos comprimidos ou cifrados (.zip, .gz, .bz2, .dmg). A telemetria inclui Unified Logs do macOS com subsistema de carregamento de bibliotecas dinâmicas, Endpoint Security Framework para operações de arquivo e monitoramento de criação de arquivos via kext ou EDR. A detecção é relevante porque malware avançado em macOS frequentemente usa frameworks nativos Swift/Objective-C para evitar a detecção de ferramentas de compressão de linha de comando. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN0749](https://attack.mitre.org/detectionstrategies/DET0268#AN0749)*