# AN0486 — Analytic 0486 ## Descrição Este analítico detecta cookies forjados no macOS identificando acessos anormais aos bancos de dados de cookies do Safari/Chrome em `~/Library/Cookies`, combinados com sessões de logon inesperadas autenticadas por esses cookies. A telemetria inclui Unified Logs do sistema, eventos de acesso ao Keychain vinculados a fluxos de autenticação de navegadores e padrões de acesso a sessão inconsistentes com o comportamento do usuário. A importância dessa detecção reside na capacidade de identificar ataques de sequestro de sessão que contornam completamente o processo de autenticação, sem alertar sistemas de detecção baseados em credenciais. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0486](https://attack.mitre.org/detectionstrategies/DET0171#AN0486)*