# AN0820 — Analytic 0820 ## Descrição Esta analítica detecta quando um usuário abre um documento ou instalador baixado que resulta na criação de arquivos via EndpointSecurity Framework nos caminhos `~/Downloads` ou `~/Library`, seguida da execução de utilitários suspeitos como osascript, bash/zsh, curl, chmod ou Terminal. A telemetria utilizada inclui eventos do ESF correlacionando criação de arquivos com execução subsequente de processos e, opcionalmente, eventos de quarentena/LSQuarantine do macOS. Esta detecção identifica o padrão clássico de execução de malware macOS entregue via download, comum em campanhas de adware, stealers e RATs que têm crescido contra usuários brasileiros em setores de tecnologia e finanças. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0820](https://attack.mitre.org/detectionstrategies/DET0294#AN0820)*