Si no sabías que MacOS tiene un directorio bien escondido llamado "/AppleInternal" que es bastante secreto. No es posible ls o rmarlo y nunca lo he visto referenciado antes con otra cosa que no sea fs_usage, donde estaba siendo listado frecuentemente como /AppleInternal o /AppleInternal>>>>>>>>>>>>>> con usualmente entre 5 y 20 >.
Pensé que era alguna referencia a algo más que un directorio pero el / antes de AppleInternal me hizo preguntarme y google tiene un artículo sobre cómo habilitarlo, que aparentemente añadió algunas características ocultas a Xcode.
Inicié la recuperación y usé mkdir (no está permitido hacerlo fuera del modo de recuperación) y ahora hay una carpeta con ese nombre pero está vacía. fs_usage ya no hace ninguna referencia a /AppleInternal y ls muestra la fecha de creación como cuando usé mkdir. Parece un uso cuestionable si se pudiera eliminar una vez descubierto y ocultar tan bien y referirse tan frecuentemente antes de añadir el mío propio.
Parece un lugar bastante bueno para esconder el malware en realidad.
Encontré una única y vaga referencia a AppleInternal en todas las páginas de hombres. Está en ani (Apple Net Install) que dice que AppleInternal y AppleInternalAssistant son ambos tipos de imágenes dmg.
Entonces, ¿alguien tiene alguna idea de cómo es capaz de esconderse tan bien o tiene alguna información adicional sobre su verdadero propósito?
