# AN1563 — Analytic 1563 ## Descrição Este analítico detecta execução de comandos para consultar configurações de locale e idioma do macOS, como `defaults read -g AppleLocale` ou `systemsetup -gettimezone`, identificando contextos de processo pai incomuns ou contextos de execução que possam indicar descoberta adversarial do idioma do sistema. A telemetria é obtida do Endpoint Security Framework (ESF) e unified log do macOS que registram todas as execuções de processo com hierarquia pai-filho e argumentos completos, permitindo identificar quando binários ou scripts anômalos consultam o locale do sistema. A relevância é alta pois malware macOS, especialmente amostras atribuídas a grupos norte-coreanos como AppleJeus, verifica configurações de locale para identificar alvos específicos antes de prosseguir com atividade maliciosa. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1614-001-system-language-discovery|T1614.001 — System Language Discovery]] - [[t1614-system-location-discovery|T1614 — System Location Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN1563](https://attack.mitre.org/detectionstrategies/DET0565#AN1563)*