# AN0840 — Analytic 0840 ## Descrição Esta analítica detecta chamadas suspeitas a `dlopen()`, `dlsym()` ou `mmap` com flags RWX em processos que normalmente não realizam carregamento dinâmico de módulos, além de regiões de memória anônimas executadas por processos de usuário no macOS. A telemetria utilizada inclui o EndpointSecurity Framework para monitorar operações de memória e carregamento de bibliotecas em processos de usuário, com foco em comportamento atípico para o processo em questão. Esta detecção é relevante para identificar implantes macOS sofisticados que utilizam carregamento reflexivo para injetar código malicioso sem deixar rastros em disco, uma técnica documentada em campanhas APT contra organizações de tecnologia e financeiras. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0840](https://attack.mitre.org/detectionstrategies/DET0300#AN0840)*