# AN0874 — Analytic 0874 ## Descrição Esta analítica detecta downloads baseados em HTML via Safari/Chrome que criam arquivos ofuscados (como .zip, .app, .js) em diretórios de usuário e são seguidos de execuções suspeitas a partir de Launch Services ou Preview no macOS. A telemetria utilizada inclui o EndpointSecurity Framework para monitorar criação de arquivos por processos de browser correlacionada com execução subsequente via Launch Services ou quarantine events. Esta detecção identifica HTML smuggling em macOS, uma técnica usada em campanhas de distribuição de malware como DMG files maliciosos que entregam infostealers populares no Brasil como Atomic Stealer e MetaStealer. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1566-002-spearphishing-link|T1566.002 — Spearphishing Link]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0874](https://attack.mitre.org/detectionstrategies/DET0313#AN0874)*