# AN1300 — Analytic 1300 ## Descrição Detecta modificação de pastas de rede compartilhadas via bundles `.app` ou arquivos de script com extensões ocultas (como extensões duplas do tipo `docx.app`). A telemetria inclui unified logs do macOS para operações de escrita em montagens de rede, verificações de quarentena do Gatekeeper para arquivos criados em compartilhamentos e alertas de EDR sobre arquivos com extensões enganosas. Esta detecção é relevante em ambientes macOS corporativos onde adversários depositam aplicações macOS disfarçadas como documentos inofensivos em compartilhamentos de rede para induzir usuários a executar malware inadvertidamente. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1080-taint-shared-content|T1080 — Taint Shared Content]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1036-005-match-legitimate-name-or-location|T1036.005 — Match Legitimaté Name or Location]] --- *Fonte: [MITRE ATT&CK — AN1300](https://attack.mitre.org/detectionstrategies/DET0471#AN1300)*