# AN1430 — Analytic 1430 ## Descrição Detecta a inicialização de intérpretes de linha de comando via Terminal, Automator ou osascript oculto no macOS, especialmente quando a linhagem de processo pai diverge das aplicações iniciadas pelo usuário, indicando execução por malware ou script automatizado. A telemetria baseia-se em eventos do Endpoint Security Framework (ESF) que rastreiam criação de processos, argumentos de linha de comando e processo pai para identificar intérpretes lançados fora do comportamento esperado do usuário. Essa detecção é relevante para identificar malware macOS que usa intérpretes nativos para executar payloads adicionais e estabelecer persistência, evitando a criação de novos executáveis que poderiam ser detectados por scanners de integridade de arquivo. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1547-011-plist-modification|T1547.011 — Plist Modification]] --- *Fonte: [MITRE ATT&CK — AN1430](https://attack.mitre.org/detectionstrategies/DET0516#AN1430)*