# AN1530 — Analytic 1530 ## Descrição Este analítico monitora a criação de arquivos binários no disco com tamanho artificialmente aumentado (padding), seguida de execução por contexto de usuário ou serviço no macOS, padrão indicativo de malware que emprega esta técnica para evadir controles de segurança baseados em tamanho de arquivo. A telemetria combina eventos de criação de arquivo do Endpoint Security Framework (ESF) do macOS com eventos de execução de processo do unified log, correlacionando o tamanho do binário com seu comportamento pós-execução. A detecção é relevante pois amostras de malware macOS como Bundlore e Shlayer historicamente utilizaram binários inflados para contornar verificações automatizadas. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1027-001-binary-padding|T1027.001 — Binary Padding]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN1530](https://attack.mitre.org/detectionstrategies/DET0553#AN1530)*