# AN0349 — Analytic 0349 ## Descrição Detecta modificação ou criação incomum de arquivos plist relacionados ao loginwindow em `~/Library/Preferences/ByHost`, correlacionada com caminhos de aplicativo não autorizados e execução automática no login. A telemetria inclui monitoramento de modificações em arquivos plist de preferências do usuário, eventos do Endpoint Security Framework e análise de processos disparados no momento do login. Essa analítica é relevante para identificar técnicas de persistência no macOS que abusam do mecanismo de loginwindow para executar código malicioso a cada sessão do usuário. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0349](https://attack.mitre.org/detectionstrategies/DET0125#AN0349)*