# AN1401 — Analytic 1401 ## Descrição Detecta injeção de código baseada em memória no macOS monitorando o uso de task_for_pid e mach_vm_write, bem como padrões de injeção de dylib por meio de DYLD_INSERT_LIBRARIES ou mapeamento manual de memória em processos de terceiros. A telemetria inclui eventos do Endpoint Security Framework (ESF) e logs de auditoria do macOS que rastreiam chamadas Mach IPC e carregamentos de biblioteca dinâmica não autorizados. Essa técnica é frequentemente explorada por malware macOS sofisticado e ferramentas de espionagem para persistir em processos legítimos e contornar controles de integridade do sistema. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1055-009-proc-memory|T1055.009 — Proc Memory]] - [[t1129-shared-modules|T1129 — Shared Modules]] - [[t1106-native-api|T1106 — Native API]] --- *Fonte: [MITRE ATT&CK — AN1401](https://attack.mitre.org/detectionstrategies/DET0508#AN1401)*