# AN0039 — Analytic 0039 ## Descrição Detecta acesso por scripting ou ferramenta CLI aos diretórios ~/Library/Application Support/Google/Chrome ou ~/Library/Safari para leitura de favoritos, cookies ou bancos de dados de histórico, identificando processos inesperados que acessam ou leem essas localizações sensíveis. A telemetria inclui logs do Endpoint Security Framework do macOS para acesso a arquivos em diretórios de perfil de navegador, análise de árvore de processos e correlação com scripts ou binários não autorizados. Esse analítico é crítico para macOS onde infostealers como Atomic Stealer, AMOS e outros específicamente visam dados de perfil de Safari e Chrome para roubo de credenciais e cookies de sessão. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1217-browser-information-discovery|T1217 — Browser Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0039](https://attack.mitre.org/detectionstrategies/DET0013#AN0039)*