# AN0921 — Analytic 0921 ## Descrição Este analytic rastreia a modificação de executáveis ou payloads de interpretador como Mach-O e dylibs que se mutam entre execuções, utilizando engines de scripting, compiladores JIT ou plugins carregados lateralmente. A telemetria inclui logs do Endpoint Security Framework monitorando criação e modificação de arquivos binários, análise de hash entre execuções e rastreamento de carregamentos de dylib por processos em execução. Em macOS, executáveis que se modificam entre execuções são um forte indicador de malware evasivo que emprega técnicas de polimorfismo ou side-loading de plugins para manter persistência e dificultar a análise forense. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1027-002-software-packing|T1027.002 — Software Packing]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0921](https://attack.mitre.org/detectionstrategies/DET0324#AN0921)*