det0414-detection-of-applescript-based-execution-on-macos

# DET0414 — Detection of AppleScript-Based Execution on macOS ## Descrição AppleScript é uma linguagem de automação nativa do macOS que permite controlar aplicativos e o sistema operacional por meio de comandos de alto nível. Adversários abusam do AppleScript para execução de código malicioso, escalada de privilégios via diálogos de autorização falsos (`osascript` solicitando senha ao usuário), e controle de aplicativos legítimos para extrair dados ou executar ações privilegiadas de forma encoberta. A detecção foca no monitoramento de execuções do binário `osascript` — o interpretador de AppleScript — especialmente quando invocado por processos não esperados (ex.: `bash`, `python`, navegadores) ou quando o script contém chamadas para funções sensíveis como `do shell script`, `keystroke` (simulação de teclado) ou diálogos de senha. O Endpoint Security Framework (ESF) da Apple fornece eventos de execução de processo com rastreamento de hierarquia pai-filho. Malwares macOS como [[atomic-macos-stealer]], [[osx-bundlore]] e adware sofisticado frequentemente empregam AppleScript para coletar credenciais via engenharia social (diálogos de senha falsos) ou para interagir com o Keychain. A criação de scripts AppleScript persistentes em LaunchAgents ou como ação de scripts de automação deve ser monitorada. ## Indicadores de Detecção - Execução de `osascript` com argumento `-e` contendo `do shell script` ou `display dialog` por processos não-admin - `osascript` invocado por processos de navegador, clientes de email ou aplicativos de produtividade - Scripts AppleScript que solicitam senha do usuário via `display dialog` fora de instaladores conhecidos - `osascript` acessando o Keychain ou chamando APIs de Security framework - Criação de arquivos `.scpt` em diretórios de LaunchAgents ou Scripts de login ## Técnicas Relacionadas - [[T1059002-applescript|T1059.002 — AppleScript]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] ## Analytics Relacionadas - [[an1164-analytic-1164|AN1164 — Analytic 1164]] --- *Fonte: [MITRE ATT&CK — DET0414](https://attack.mitre.org/detectionstrategies/DET0414)*