# AN1316 — Analytic 1316 ## Descrição Detecta a cadeia causa-efeito de execução a partir de arquivos entregues a usuários no macOS: (1) unified logs mostram abertura de aplicação ou crash de Safari/Chrome/Office/Preview/arquivador; (2) escrita/extração de arquivo em `~/Downloads`, `/private/var/folders/*` ou `~/Library`; (3) aplicação pai gera `osascript`, `bash`, `zsh`, `curl`, `python` ou abre um app em quarentena com prompts do Gatekeeper; (4) tráfego de rede de saída do processo filho. A telemetria inclui unified logs, eventos do Endpoint Security framework e alertas do Gatekeeper. Esta detecção visa identificar a execução inicial de malware macOS entregue via phishing ou downloads maliciosos, correlacionando o contexto da entrega com a execução subsequente de código. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN1316](https://attack.mitre.org/detectionstrategies/DET0478#AN1316)*