# AN0994 — Analytic 0994 ## Descrição Este analítico detecta comprometimento drive-by no macOS monitorando logs do Unified Log para processos gerados pelo Safari ou outros navegadores que carregam scripts ou executáveis imediatamente após o download. A telemetria utilizada inclui eventos do EndpointSecurity framework e logs do Unified Log, identificando queda de arquivos em `~/Library/Caches` ou `~/Downloads` seguida de execução em janela temporal curta, além de verificação de atributo de quarentena (com.apple.quarantine). A detecção é importante para identificar exploração de vulnerabilidades de navegador no macOS — como CVE-2023-41064 (WebKit) — que permitem execução de código sem interação do usuário além da visita à página maliciosa. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1189-drive-by-compromise|T1189 — Drive-by Compromise]] - [[t1203-exploitation-for-client-execution|T1203 — Exploitation for Client Execution]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0994](https://attack.mitre.org/detectionstrategies/DET0349#AN0994)*