# AN0981 — Analytic 0981 ## Descrição Este analítico detecta invocação maliciosa do comando `screencapture` nativo do macOS ou uso de APIs não documentadas de captura de tela por processos com linhagem parental suspeita, como daemons em background ou scripts sem sessão ativa de usuário. A telemetria utilizada inclui logs do Unified Log e eventos do EndpointSecurity framework, monitorando a execução de `screencapture` ou APIs de CGDisplay por processos fora do contexto GUI normal. A detecção é relevante porque malware macOS como XCSSET e variantes de spyware comercial (Pegasus para macOS) utilizam captura de tela silenciosa para espionagem corporativa e roubo de credenciais em plataformas Apple. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1113-screen-capture|T1113 — Screen Capture]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN0981](https://attack.mitre.org/detectionstrategies/DET0346#AN0981)*