# AN1482 — Analytic 1482 ## Descrição Detecta instalações de pacotes `.pkg` de fontes atípicas ou com avisos de Gatekeeper/AMFI, escrita de novos Mach-O em caminhos `/Applications` ou `~/Library`, substituição de componentes assinados, e execução inicial do instalador que gera processos filhos não assinados ou tráfego de exfiltração. A telemetria inclui Unified Logs do macOS, eventos do Endpoint Security Framework e alertas de válidação de assinatura do Gatekeeper. Esta analítica é importante para detectar trojans distribuídos como aplicativos macOS legítimos, um vetor crescente especialmente em ataques contra desenvolvedores e profissionais de tecnologia via distribuição de software comprometido. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN1482](https://attack.mitre.org/detectionstrategies/DET0537#AN1482)*