# AN0800 — Analytic 0800 ## Descrição Esta analítica correlaciona remoção ou modificação suspeita do atributo estendido com.apple.quarantine, manipulação de valores LSFileQuarantineEnabled em Info.plist e execução inesperada de binários não assinados ou não notarizados no macOS. A telemetria inclui Unified Logs do macOS para falhas de válidação de trust de código, entradas anômalas no banco de dados QuarantineEvents e eventos do Endpoint Security Framework para modificações de atributos estendidos de arquivo. A detecção é essencial porque a remoção do atributo de quarentena é frequentemente o primeiro passo de malware macOS após download, permitindo que o Gatekeeper sejá contornado e que binários não verificados sejam executados sem alertas ao usuário. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN0800](https://attack.mitre.org/detectionstrategies/DET0288#AN0800)*