# AN0985 — Analytic 0985 ## Descrição Este analítico detecta binários ou launch daemons em `/System/Library` ou `/Applications` no macOS com nomes de bundle inconsistentes, metadados inesperados ou origem de instalação imprópria que divergem do perfil de aplicação legítima. A telemetria utilizada inclui verificações de assinatura de código via `codesign` e `spctl`, logs do Unified Log para carregamento de system extensions e monitoramento de alterações no diretório `/System` via EndpointSecurity. Esta detecção é relevante para identificar técnicas de mascaramento usadas por malware macOS como Shlayer, Gimmick e adware agressivo que instalam componentes disfarçados de atualizações legítimas do sistema operacional. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN0985](https://attack.mitre.org/detectionstrategies/DET0347#AN0985)*