# AN0124 — Analytic 0124 ## Descrição Detecta instalação de perfis .mobileconfig maliciosos ou entradas plist de extensão de navegador no macOS seguida de atividade anômala de processo filho do navegador. A telemetria inclui o Endpoint Security Framework para monitorar criação de arquivos .mobileconfig e modificações em diretórios de extensão do browser, logs do Unified Logging para rastrear instalação de perfis de configuração MDM, e alertas quando extensões não corporativas são instaladas automaticamente por script. Este analítico detecta campanha de adware macOS e stealers que utilizam perfis de configuração para instalar extensões maliciosas persistentes com permissões elevadas no navegador. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1176-browser-extensions|T1176 — Browser Extensions]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1185-browser-session-hijacking|T1185 — Browser Session Hijacking]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0124](https://attack.mitre.org/detectionstrategies/DET0044#AN0124)*