# AN0107 — Analytic 0107 ## Descrição Detecta acesso anormal a armazenamentos de credenciais do Safari (via Keychain) ou bancos de dados de login do Chrome/Firefox no macOS, observando processos que executam security dump-keychain ou que leem diretamente arquivos de credenciais em ~/Library/Application Support. A telemetria inclui o Endpoint Security Framework para monitorar acesso a arquivos de credenciais, o Unified Logging para rastrear operações no Keychain (subsistema com.apple.securityd), e correlação com linhagem de processo suspeita ou binários não assinados. Este analítico é essencial para detectar malware macOS como AMOS (Atomic macOS Stealer) e KeySteal que exploram o Keychain para roubar credenciais armazenadas. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1056-input-capture|T1056 — Input Capture]] --- *Fonte: [MITRE ATT&CK — AN0107](https://attack.mitre.org/detectionstrategies/DET0037#AN0107)*