# AN0784 — Analytic 0784 ## Descrição Esta analítica identifica no macOS utilitários de arquivo (ditto, unzip, xar, pkgutil) usados para extrair payloads para caminhos não padrão, correlacionando com execução ou alterações de permissão de arquivo (chmod +x) e spawns de processos a partir da localização descomprimida. A telemetria inclui Endpoint Security Framework para operações de arquivo em locais temporários, Unified Logs do macOS para execução de utilitários de arquivamento e eventos de mudança de permissão de arquivo. A detecção é relevante para identificar instaladores maliciosos de macOS, falsos atualizadores de software e dropers que usam formatos de empacotamento nativos (pkg, dmg, zip) para entrega de malware. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN0784](https://attack.mitre.org/detectionstrategies/DET0281#AN0784)*