# AN1383 — Analytic 1383 ## Descrição Detecta atividade de compilação não padrão via ferramentas Xcode CLI, GCC ou pacotes MONO bundled que escrevem novos arquivos executáveis e os executam fora de ambientes de desenvolvimento (como a pasta Downloads do usuário). Utiliza o Endpoint Security Framework e logs do Unified Log para correlacionar invocação de compiladores com criação de binários executáveis em caminhos de dados de usuário e execução subsequente dos artefatos. Relevante para detectar malwares macOS que compilam componentes auxiliares em tempo de execução para evadir assinaturas estáticas de antivírus e controles de integridade de código. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN1383](https://attack.mitre.org/detectionstrategies/DET0501#AN1383)*