# AN0964 — Analytic 0964 ## Descrição Este analítico detecta a execução de comandos ofuscados colados pelo usuário no Terminal.app ou iTerm2 no macOS, onde o conteúdo decodifica ou baixa e executa código malicioso. A telemetria utilizada abrange eventos do EndpointSecurity framework e logs do Unified Log do macOS, monitorando Terminal ou iTerm2 gerando processos bash/zsh/python com padrões de pipeline suspeitos (base64, curl) seguidos de escrita de arquivos em `~/Library` ou `/tmp` e conexões de rede externas. A detecção é fundamental para identificar ataques do tipo "paste-and-run" que contornam proteções do Gatekeeper ao executar código diretamente via interpretador do sistema. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0964](https://attack.mitre.org/detectionstrategies/DET0340#AN0964)*