# AN0870 — Analytic 0870 ## Descrição Esta analítica detecta GUIs falsas ou spoofadas de Segurança e Privacidade do macOS que exibem status saudável após a desabilitação de processos XProtect, Gatekeeper ou AV. A telemetria utilizada inclui o EndpointSecurity Framework correlacionando criação de processos de UI com a terminação ou ausência dos daemons de segurança correspondentes. Esta detecção é relevante para identificar malware macOS sofisticado que usa engenharia social visual para convencer usuários de que o sistema está protegido enquanto as defesas reais foram silenciosamente desativadas, uma técnica observada em campanhas de adware agressivo e implantes APT contra usuários corporativos de Apple. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1562-001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN0870](https://attack.mitre.org/detectionstrategies/DET0311#AN0870)*