# AN1359 — Analytic 1359 ## Descrição Detecta uso anômalo de Mach ports, Apple Events ou serviços XPC para execução entre processos ou injeção de código no macOS, com foco em processos inesperados que tentam enviar Apple Events privilegiados (como scripts de automação injetando em apps sensíveis à segurança). A telemetria inclui unified logs do macOS para uso do Accessibility API (`AXUIElement`), eventos de distribuição de Apple Events via Endpoint Security framework e alertas sobre processos tentando comunicação XPC com serviços privilegiados não autorizados. Esta detecção é importante para identificar malware macOS avançado que utiliza os mecanismos nativos de comunicação entre processos do macOS para executar código privilegiado ou extrair dados de aplicações sensíveis como gerenciadores de senhas, clientes de email ou aplicações financeiras. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1559-inter-process-communication|T1559 — Inter-Process Commúnication]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1548-004-elevated-execution-with-prompt|T1548.004 — Elevated Execution with Prompt]] --- *Fonte: [MITRE ATT&CK — AN1359](https://attack.mitre.org/detectionstrategies/DET0493#AN1359)*