# AN0284 — Analytic 0284 ## Descrição Esta analítica monitora tentativas de bypass do TCC ou acesso não autorizado a serviços de entrada como IOHIDSystem ou Quartz Event Services utilizados para keylogging ou monitoramento de tela no macOS. A telemetria inclui eventos de acesso ao TCC (Transparency, Consent and Control), logs do Endpoint Security Framework e alertas de chamadas de API suspeitas para `CGEventTapCreate`. A detecção é importante pois o bypass do TCC é técnica documentada em vulnerabilidades do macOS exploradas por spyware como Pegasus, permitindo captura de entrada sem aprovação do usuário. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1056-input-capture|T1056 — Input Capture]] - [[t1056-001-keylogging|T1056.001 — Keylogging]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1113-screen-capture|T1113 — Screen Capture]] --- *Fonte: [MITRE ATT&CK — AN0284](https://attack.mitre.org/detectionstrategies/DET0102#AN0284)*