# AN1606 — Analytic 1606 ## Descrição Esta analítica detecta criação de usuários em macOS por meio de comandos `dscl`, ferramentas de interface gráfica ou modificação direta de arquivos plist de usuários, padrões utilizados por adversários para persistência encoberta no sistema. A telemetria inclui monitoramento de invocações do `dscl` via Unified Logs e alertas de alterações em plists relacionados a contas de usuário (`/var/db/dslocal/nodes/Default/users/`). A detecção é importante porque a criação de contas ocultas via `dscl` é uma técnica conhecida utilizada por malware macOS para manter acesso persistente sem criar entradas visíveis na interface de login padrão. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN1606](https://attack.mitre.org/detectionstrategies/DET0583#AN1606)*