# AN0245 — Analytic 0245 ## Descrição Esta analítica detecta acesso não autorizado ao TCC ou uso de `CGEventTapCreate` (Quartz Event Services) e IOHID para instalação de event taps em processos inesperados no macOS. A telemetria inclui logs do Endpoint Security Framework, eventos de acesso ao TCC e criação de processos com permissões de acessibilidade incomuns. A detecção é importante pois event taps são mecanismo nativo do macOS frequentemente abusados por malwares para capturar teclas, cliques e dados de área de transferência sem necessidade de root. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1056-input-capture|T1056 — Input Capture]] - [[t1056-001-keylogging|T1056.001 — Keylogging]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0245](https://attack.mitre.org/detectionstrategies/DET0089#AN0245)*