# AN0289 — Analytic 0289 ## Descrição Esta analítica detecta adições ou alterações não autorizadas em `/Library/Security/SecurityAgentPlugins` e atividade suspeita de processos tentando hookear APIs de autenticação no macOS, correlacionando modificações de arquivo com carregamentos anômalos de plugin em fluxos de autenticação. A telemetria inclui eventos do Endpoint Security Framework para modificações em diretórios de plugins de segurança e logs de carregamento de módulo de autenticação. A detecção é importante pois plugins maliciosos de SecurityAgent são técnica documentada para captura de credenciais no macOS, permitindo ao adversário interceptar credenciais durante o processo de login do sistema. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] --- *Fonte: [MITRE ATT&CK — AN0289](https://attack.mitre.org/detectionstrategies/DET0104#AN0289)*