# AN0813 — Analytic 0813 ## Descrição Esta analítica detecta a execução de arquivos renomeados ou entregues com espaço em branco no final do nome para enganar usuários ou analistas, especialmente quando registrados em LaunchAgents ou LaunchDaemons do macOS. A telemetria utilizada inclui o EndpointSecurity Framework (ESF) para monitorar eventos de criação e execução de arquivos em diretórios de inicialização do sistema. Esta detecção é relevante pois adversários em macOS aproveitam essa técnica para mascarar agentes de persistência maliciosos como serviços legítimos do sistema operacional. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1543-001-launch-agent|T1543.001 — Launch Agent]] - [[t1543-004-launch-daemon|T1543.004 — Launch Daemon]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN0813](https://attack.mitre.org/detectionstrategies/DET0292#AN0813)*