# AN0252 — Analytic 0252 ## Descrição Esta analítica detecta a instalação de perfis de configuração ou entradas plist associadas a extensões de navegador maliciosas ou não autorizadas no macOS. A telemetria inclui eventos de criação e modificação de arquivos em diretórios de perfis (`/Library/Managed Preferences/`, `~/Library/Application Support/`) e logs do MDM. A detecção é relevante pois perfis de configuração MDM são frequentemente abusados por adware e spyware para instalar extensões persistentes que interceptam tráfego web e coletam credenciais do usuário. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1176-browser-extensions|T1176 — Browser Extensions]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0252](https://attack.mitre.org/detectionstrategies/DET0092#AN0252)*