# AN0391 — Analytic 0391 ## Descrição Detecta abuso de `DYLD_INSERT_LIBRARIES` para hooking de aplicativos sensíveis a credenciais no macOS, correlacionando spawns de processos com injeção de biblioteca não autorizada e monitorando alterações no segmento `__TEXT` (código) de binários que manipulam credenciais. A telemetria inclui eventos do Endpoint Security Framework para carregamento de biblioteca dinâmica, monitoramento de variáveis de ambiente `DYLD_INSERT_LIBRARIES` e análise de integridade de código em processos de autenticação. Essa analítica é importante porque o mecanismo DYLD de injeção de biblioteca é uma superfície de ataque específica do macOS que permite interceptar credenciais em aplicativos como o Safari, Keychain e clientes de e-mail sem modificar os binários originais. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1056-input-capture|T1056 — Input Capture]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN0391](https://attack.mitre.org/detectionstrategies/DET0139#AN0391)*