# AN1368 — Analytic 1368 ## Descrição Detecta execução de RAT baseado em Electron ou GUI no macOS, seguida de persistência via LaunchAgent ou LaunchDaemon e manutenção de conexões externas persistentes, com processos filhos interativos como osascript, sh ou curl originados do processo pai do agente. Utiliza o Endpoint Security Framework e logs do Unified Log para correlacionar instalação de LaunchItems por processos não assinados, conexões de rede de longa duração e spawn de intérpretes de script a partir de contextos suspeitos. Crítico para identificar backdoors macOS usados por grupos como Lazarus que empregam RATs baseados em Electron em campanhas contra desenvolvedores e o setor financeiro. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1219-remote-access-tools|T1219 — Remote Access Software]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1368](https://attack.mitre.org/detectionstrategies/DET0496#AN1368)*