# AN1409 — Analytic 1409 ## Descrição Detecta arquivos SVG baixados via navegador que invocam AppleScript, osascript ou processos JavaScriptCore, seguidos de egresso de rede ou criação de arquivos em LaunchAgents ou ~/Library para persistência. A telemetria baseia-se em eventos do Endpoint Security Framework (ESF) do macOS que rastreiam execução de processos, criação de arquivos em diretórios sensíveis e conexões de rede estabelecidas após a abertura de SVGs. Essa detecção é relevante para campanhas direcionadas a usuários macOS, onde SVGs maliciosos são usados para executar AppleScript que instala LaunchAgents para persistência ou realiza exfiltração de dados. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1566-001-spearphishing-attachment|T1566.001 — Spearphishing Attachment]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1547-011-plist-modification|T1547.011 — Plist Modification]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN1409](https://attack.mitre.org/detectionstrategies/DET0510#AN1409)*