# AN1184 — Analytic 1184 ## Descrição Detecta uso de API ou acesso ao sistema de arquivos revelando estado de usuário ou artefatos de browser (marcadores do Safari, CGEventState) por processos não autorizados no macOS. A telemetria inclui Unified Logs com foco em acessos à Accessibility API, eventos de acesso a arquivos de perfil do Safari via Endpoint Security Framework e monitoramento de chamadas CGEvent para correlacionar verificações de presença de usuário com comportamento malicioso. Esse analítico detecta técnicas de anti-análise de malware macOS que verificam estado de sessão e presença ativa do usuário antes de executar ações que seriam detectadas em ambientes de sandbox automatizados. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1033-system-owner-user-discovery|T1033 — System Owner/User Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1184](https://attack.mitre.org/detectionstrategies/DET0420#AN1184)*