# AN2032 — Analytic 2032 ## Descrição Este analítico detecta requisições de rede scriptadas no macOS (usando `osascript`, `curl` ou `python`) que incluem strings User-Agent de navegador incompatíveis ou falsificadas em comparação com o baseline típico do Safari ou Chrome do macOS, especialmente quando acionadas por launch agents não interativos, login hooks ou daemons em background. A telemetria inclui logs de tráfego de rede para correlacionar processos de automação macOS com User-Agents de navegador suspeitos, logs de LaunchAgent e LaunchDaemon para identificar execuções de scripts que geram tráfego HTTP com User-Agents incomuns, e comparação com baselines de comunicação de rede esperados para agentes e daemons de sistema. O analítico é relevante porque malware macOS frequentemente implementa persistência via LaunchAgents e utiliza User-Agents falsificados para que callbacks C2 se misturem com tráfego legítimo de navegadores Safari ou Chrome. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN2032](https://attack.mitre.org/detectionstrategies/DET0898#AN2032)*