# AN0911 — Analytic 0911 ## Descrição Este analytic detecta a execução de binários de virtualização como Parallels, VMware Fusion ou VirtualBox com argumentos de UI oculta, e o monitoramento de modificações em arquivos plist indicando comportamento de virtualização furtiva. A telemetria inclui rastreamento de linhagem de processos via Endpoint Security Framework e monitoramento de modificações em configurações de sistema. Em macOS, a execução de instâncias virtuais ocultas é uma técnica sofisticada de evasão que permite ao adversário executar código em um ambiente isolado do sistema de segurança host, sendo especialmente relevante em ataques direcionados a desenvolvedores e pesquisadores de segurança. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1564-006-run-virtual-instance|T1564.006 — Run Virtual Instance]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1553-001-gatekeeper-bypass|T1553.001 — Gatekeeper Bypass]] --- *Fonte: [MITRE ATT&CK — AN0911](https://attack.mitre.org/detectionstrategies/DET0321#AN0911)*