# AN1609 — Analytic 1609 ## Descrição Esta analítica detecta criação ou modificação inesperada de arquivos com atributos estendidos `com.apple.ResourceFork` contendo dados anormalmente grandes ou não padronizados, técnica usada por adversários para ocultar payloads maliciosos em forks de recursos de arquivos macOS. A telemetria utilizada inclui monitoramento de extended attributes via `xattr`, Unified Logs e correlação com eventos de execução de processos ou atividade de rede subsequente ao acesso ao arquivo. Esta detecção importa porque resource forks são raramente utilizados em fluxos modernos de trabalho, tornando sua presença em contextos incomuns um forte indicador de evasão de defesas. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN1609](https://attack.mitre.org/detectionstrategies/DET0584#AN1609)*