# AN1467 — Analytic 1467 ## Descrição Detecta a execução de processos que se vinculam a APIs CoreServices ou Foundation do macOS, seguida de criação de regiões de memória, execução de código ou injeção anômala de bibliotecas. A telemetria inclui Unified Logs, eventos do Endpoint Security Framework e rastreamento de chamadas de API de alto risco relacionadas a operações de memória. Esta analítica é relevante para detectar técnicas de injeção de código em macOS que abusam de frameworks nativos do sistema para carregar código malicioso dentro de processos legítimos, evadindo controles de segurança que confiam na assinatura do processo pai. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1106-native-api|T1106 — Native API]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1467](https://attack.mitre.org/detectionstrategies/DET0529#AN1467)*