# AN1628 — Analytic 1628 ## Descrição Esta analítica detecta alterações de timestamps em macOS via comandos `touch`, `SetFile` (Xcode Developer Tools) ou manipulação direta de metadados via `xattr`, bem como uso de APIs de baixo nível por processos não relacionados a desenvolvimento, visando ocultar artefatos maliciosos. A telemetria inclui Unified Logs capturando invocações de `touch` e `SetFile` por processos inesperados, alertas de modificação de extended attributes (`com.apple.quarantine` removido) e eventos de acesso a arquivos via `fsevents`. Esta detecção é relevante porque macOS possui múltiplos mecanismos de metadados que adversários manipulam para remover flags de quarantine e ocultar a origem de artefatos maliciosos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN1628](https://attack.mitre.org/detectionstrategies/DET0591#AN1628)*