# AN1491 — Analytic 1491 ## Descrição Detecta daemons persistentes ou em segundo plano (como plists ou jobs launchd) que geram processos com alto consumo de CPU como `xmrig` ou `cpuminer` em macOS, com tráfego criptografado de saída para IPs e domínios comumente usados por proxies de mineração. A telemetria inclui Unified Logs para análise de launchd, Endpoint Security Framework para monitoramento de processos e análise de NetFlow para identificar conexões a pools de mineração conhecidos. Esta analítica é relevante para detectar cryptojacking persistente em macOS, onde mineradores são instalados como launch daemons para garantir execução contínua mesmo após reinicializações. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1491](https://attack.mitre.org/detectionstrategies/DET0540#AN1491)*