# AN1164 — Analytic 1164 ## Descrição Detecta execução de AppleScript via `osascript`, APIs NSAppleScript/OSAScript e eventos anômalos de controle de aplicações entre sessões de usuário, com foco em cadeias causais como osascript gerando processos filho, keystrokes induzidos por script ou spoofing de diálogos via API. A telemetria inclui Unified Logs do macOS, eventos de processo do Endpoint Security Framework e logs de acesso à Accessibility API para correlacionar execução de scripts com ações suspeitas em outros processos. AppleScript é frequentemente abusado em ataques macOS para automação de ações maliciosas, elevação de privilégios via prompts de usuário e persistência sem necessidade de binários suspeitos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN1164](https://attack.mitre.org/detectionstrategies/DET0414#AN1164)*