# AN1099 — Analytic 1099 ## Descrição Este analítico monitora manipulação em tempo de execução no macOS através de mudanças em bundles de aplicação, modificações inesperadas de assinatura e chamadas de API em tempo de execução que injetam ou alteram como os dados são exibidos. Detecta alterações nos frameworks CFNetwork ou CoreFoundation responsáveis pela renderização de dados. Utiliza telemetria do Endpoint Security Framework (ESF), verificação de integridade de assinatura de código (codesign) e monitoramento de System Integrity Protection (SIP). A detecção é importante porque modificações em frameworks do macOS podem permitir que atacantes alterem silenciosamente dados exibidos ao usuário, comprometendo a integridade de aplicações de negócios. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1099](https://attack.mitre.org/detectionstrategies/DET0391#AN1099)*