# AN1050 — Analytic 1050 ## Descrição Este analítico detecta a execução de AppleScript, bash ou jobs `launchd` que invocam funções de delay (como `sleep` ou `delay` em AppleScript) com interação mínima do processo pai e comandos de follow-on em estágios. Utiliza telemetria do Endpoint Security Framework (ESF) e logs unificados do macOS para correlacionar padrões de atraso artificial com execuções subsequentes suspeitas. A detecção é relevante porque stagers de malware no macOS frequentemente usam delays para contornar análise automática e garantir persistência antes de estabelecer comunicação C2. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1050](https://attack.mitre.org/detectionstrategies/DET0372#AN1050)*