# AN0769 — Analytic 0769 ## Descrição Esta analítica detecta no macOS invocação de ferramentas nativas de scripting ou decodificação como base64, plutil ou utilitários via AppleScript para decodificar arquivos embutidos em artefatos de staging, frequentemente ocorrendo pós-download ou como parte de deployment de payload pós-exploração via zsh, python ou osascript. A telemetria inclui Unified Logs do macOS para execução de processos com argumentos de decodificação, Endpoint Security Framework para criação de arquivos em ~/Library/Application Support ou /tmp, e logs de acesso de rede correlacionados. A detecção é importante porque plutil e base64 são ferramentas assinadas pela Apple raramente usadas por usuários finais, tornando sua invocação por processos não interativos um sinal de alerta claro. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0769](https://attack.mitre.org/detectionstrategies/DET0275#AN0769)*